Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 xp_cmdshell (Отказано в доступе)  [new]
Dastis
Member

Откуда:
Сообщений: 4
Здравствуйте.
Возникла проблема на которую я не могу нигде найти ответа, поэтому решил зарегистрироваться здесь и спросить у более опытных людей.
Необходимо создать нового пользователя Windows через процедуру xp_cmdshell.
Пробовал
exec xp_cmdshell 'net user USERNAME PWD /net'
, однако SQL ругается
автор
Системная ошибка 5.
NULL
Отказано в доступе.
NULL
NULL

Сама по себе процедура работает, я могу открывать файлы или же использовать некоторые другие команды (ipconfig/netstat к примеру), но не могу создать пользователя.
Также еще проблема с отключением брандмауэра. В ответ на
xp_cmdshell 'netsh advfirewall set allprofiles state off'

выводит:
автор
(Для запрошенной операции требуется повышение прав (запустите с правами администратора).

На просторах интернета встречал такие советы как
автор
создать на рабочем столе ярлык cmd.exe и запустить его через ПКМ>запуск от имени администратора

хотя лично мне кажется совет бредом, ибо ТС ясно давал знать, что все происходит через xp_cmdshell.
Еще я видел ответы касательно прокси аккаунта. Не совсем разобрался с этим, но, как я понял, там необходимо создавать учетную запись Windows с правами и использовать ее как аккаунт посредник для cmdshell. Получается, чтобы создать учетную запись нужно создать учетную запись. Есть ли какие-нибудь другие варианты повышения себе прав или запуска xp_cmdshell от имени администратора?
P.S. В ответ на
xp_cmdshell 'whoami.exe' 

Выводит:
автор
nt authority\network service

Использовал учетную запись sa.
3 дек 14, 12:25    [16942579]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
Dastis
Необходимо создать нового пользователя Windows через процедуру xp_cmdshell.

вы, конечно ,меня простите - НО ема е...что еще должен уметь сиквел сервер? Крестиком вышивать ?
Да и создать пользователя в домене может толдько член группы Администратор домена,а ваш аккаун sa точно не входит в данную доменную группу
3 дек 14, 12:28    [16942603]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Glory
Member

Откуда:
Сообщений: 104751
Dastis
P.S. В ответ на
xp_cmdshell 'whoami.exe' 


Выводит:
автор
nt authority\network service

И у этой учетной записи есть права на "Необходимо создать нового пользователя Windows" ?
3 дек 14, 12:28    [16942604]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Jovanny
Member

Откуда:
Сообщений: 1196
Dastis,

Пытаетесь хакнуть через SQL Server?
3 дек 14, 12:34    [16942648]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Dastis
Member

Откуда:
Сообщений: 4
Maxx
Dastis
Необходимо создать нового пользователя Windows через процедуру xp_cmdshell.

вы, конечно ,меня простите - НО ема е...что еще должен уметь сиквел сервер? Крестиком вышивать ?

Странно, но я находил в интернете примеры кода на создание нового пользователя. То есть, по вашим словам, такое невозможно?
Блин...и крестиком вышивать нельзя.
3 дек 14, 12:41    [16942708]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Glory
Member

Откуда:
Сообщений: 104751
Dastis
Странно, но я находил в интернете примеры кода на создание нового пользователя. То есть, по вашим словам, такое невозможно?
Блин...и крестиком вышивать нельзя.

Некоторые SQLServer-ом даже гистограммы "рисуют". Непонятно только зачем.
3 дек 14, 12:43    [16942731]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8815
Если в спектакле есть ружье - оно у кого-то обязательно стреляет. Даже есть просто декорация.
3 дек 14, 12:52    [16942819]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
Dastis
Странно, но я находил в интернете примеры кода на создание нового пользователя. То есть, по вашим словам, такое невозможно?


при наличие достаточного количества прав , понимая структуры АД + достаточное количество заний - сделать можно вообще практически все :)
Не говоря уже о том,что путей решения есть как минимум несколько...
1.powershell + xp_cmd....
2. cmd +xp_cmd..
3. CLR - не уврене,там таки много ограничений,но полпробовать можно
4. LinkedServer -> ADSL
5. sp_AOCreate - помоемук там таки можно создать обьект нужного типа
НО ЗА ДЛЯ НАФИГА ?
3 дек 14, 13:11    [16943021]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Dastis
Member

Откуда:
Сообщений: 4
Maxx
Dastis
Странно, но я находил в интернете примеры кода на создание нового пользователя. То есть, по вашим словам, такое невозможно?


при наличие достаточного количества прав , понимая структуры АД + достаточное количество заний - сделать можно вообще практически все :)
Не говоря уже о том,что путей решения есть как минимум несколько...
1.powershell + xp_cmd....
2. cmd +xp_cmd..
3. CLR - не уврене,там таки много ограничений,но полпробовать можно
4. LinkedServer -> ADSL
5. sp_AOCreate - помоемук там таки можно создать обьект нужного типа

Спасибо! Я покопаю в этих направлениях.
Не совсем разобрался касательно "nt authority\network service" как и что тут изменить, чтобы дать права, а это, похоже, фундаментальная вещь.
Maxx
НО ЗА ДЛЯ НАФИГА ?

Понимаете, бабушка меня попросила.
3 дек 14, 13:22    [16943149]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Glory
Member

Откуда:
Сообщений: 104751
Dastis
Не совсем разобрался касательно "nt authority\network service" как и что тут изменить, чтобы дать права, а это, похоже, фундаментальная вещь.

Вы не знаете, что у каждой сетевой учетной записи может быть свой набор прав ?
3 дек 14, 13:23    [16943168]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
Dastis
Понимаете, бабушка меня попросила.

бабушке - бабушкино, печь пирожки
а вы как сознательный внук - должны ей мягко намекнуть,что фигню она хочет
Dastis
Не совсем разобрался касательно "nt authority\network service" как и что тут изменить, чтобы дать права, а это, похоже, фундаментальная вещь.

Чиатйте хелп по АД с первой страницы
3 дек 14, 13:24    [16943174]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 8815
Плохая бабушка, заставляет спать на потолке...
3 дек 14, 13:24    [16943176]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Dastis
Member

Откуда:
Сообщений: 4
Maxx
Чиатйте хелп по АД с первой страницы

Премного благодарствую.
Я не ищу готового решения, я просто упёрся в тупик и искал направления.
Буду теперь копать.
3 дек 14, 13:28    [16943224]     Ответить | Цитировать Сообщить модератору
 Re: xp_cmdshell (Отказано в доступе)  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
Dastis,

как бы вам сказать то.. вы исчете не путь решения,а играете в Сусанина. Не нужно пытаться все сделать средствами мсскл...не для етого он произведен на свет.
3 дек 14, 13:31    [16943251]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить