如何在不提升用户权限的情况下，使普通用户执行xp_cmdshell存储过程

来源：互联网发布：超级基因优化液无错编辑：程序博客网时间：2024/05/17 09:11

如何在不提升用户权限的情况下，使普通用户执行xp_cmdshell存储过程2008-11-26 14:09:29SQL Server 2005 及之后的版本

背景

xp_cmdshell是一个很危险的存储过程，通过它，可以访问操作系统的资源，但有时候我们也需要使用它来实现一些特殊的处理。

从安全的角度来考虑，禁用xp_cmdsehll是最保险的，即使为了特殊目的而要求使用它，也最好能够编写一些实现这个特殊目的的用户存储过程，只在这个用户存储过程中使用xp_cmdshell，而普通用户只能使用这些用户存储过程。

正确的解决办法

下面的示例显示如何使普通用户在不具有执行存储过程xp_cmdshell的权限下，调用包含了执行xp_cmdshell代码的用户存储过程的方法。

-- 1. 具有执行xp_cmdshell 权限的登录

USE master;

-- 1.a. 建立登录

CREATE LOGIN Cmd_Login

WITH PASSWORD = N'Pwd.123',

CHECK_POLICY = OFF;

-- 1.b. 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏

DENY CONNECT SQL

TO Cmd_Login;

-- 1.c. 因为要调用xp_cmdshell , 所以在master 中要有用户, 并具有权限

CREATE USER Cmd_Login

FOR LOGIN Cmd_Login

WITH DEFAULT_SCHEMA = dbo;

GRANT EXECUTE ON sys.xp_cmdshell

TO Cmd_Login;

-- 2. 用户数据库

USE tempdb;

-- 2.a 为执行xp_cmdshell 权限的登录建立用户

CREATE USER Cmd_Login

FOR LOGIN Cmd_Login

WITH DEFAULT_SCHEMA = dbo;

-- 2.b 测试存储过程

CREATE PROC dbo.p

WITH EXECUTE AS N'Cmd_Login' -- 指定存储过程的执行时的上下文

EXEC master.sys.xp_cmdshell 'dir c:/'

-- 3. 调用存储过程的普通登录

USE master;

-- 3.a 登录

CREATE LOGIN test

WITH PASSWORD = N'abc.123',

CHECK_POLICY = OFF;

-- 3.b 数据库用户

USE tempdb;

CREATE USER test

FOR LOGIN test;

-- 3.c 执行存储过程的权限

GRANT EXECUTE ON dbo.p

TO test;

-- 3.d 执行测试

EXECUTE AS LOGIN = N'test';

EXEC dbo.p;

REVERT;

-- 4. 删除测试

DROP PROC dbo.p;

DROP USER test;

DROP USER Cmd_Login;

USE master;

DROP LOGIN test;

DROP USER Cmd_Login;

DROP LOGIN Cmd_Login;

补充说明多数情况下，数据库的所有者是sa一类的sysadmin固定服务器角色的成员，所以在这种情况下，也可以直接指定使用数据库所有者作为存储过程执行的安全上下文。

-- 2. 用户数据库

USE tempdb;

-- 2.b 测试存储过程

CREATE PROC dbo.p

WITH EXECUTE AS N'dbo' -- 指定存储过程的执行时的上下文

ASEXEC master.sys.xp_cmdshell 'dir c:/'

- 3. 调用存储过程的普通登录

USE master;

-- 3.a 登录

CREATE LOGIN test

WITH PASSWORD = N'abc.123',

CHECK_POLICY = OFF;

GO-- 3.b 数据库用户

USE tempdb;

CREATE USER test

FOR LOGIN test;

-- 3.c 执行存储过程的权限

GRANT EXECUTE ON dbo.p

TO test;

-- 3.d 执行测试

EXECUTE AS LOGIN = N'test';

EXEC dbo.p;

REVERT;

-- 4. 删除测试

DROP PROC dbo.p;

DROP USER test;

USE master;

DROP LOGIN test;

使用前述方法的时候，实例中需要有xp_cmdshell代理帐户（默认是没有的），否则会收到下面的错误信息。

消息15153，级别16，状态1，过程xp_cmdshell，第1 行

xp_cmdshell 代理帐户信息无法检索或无效。请验证'##xp_cmdshell_proxy_account##' 凭据存在并且包含有效的信息。

可以使用下面的代码创建xp_cmdshell代理帐户。

USE master;

DECLARE

@user sysname,

@password sysname,

@sql varchar(1000);

-- 在操作系统中为xp_cmdshell 代理帐户建立windows 用户

SELECT

@user = N'XpCmdAccount',

@password = N'P@ssw0rd.',

@sql = 'NET USER "' + @user + '" "' + @password + '" /ADD';

EXEC sys.xp_cmdshell @sql;

-- 建立xp_cmdshell 代理帐户

SELECT

@user = CONVERT(sysname, SERVERPROPERTY(N'MachineName'))

+ N'/' + @user;

EXEC sp_xp_cmdshell_proxy_account @user, @password;

最后说明一点，要使用xp_mdshell，得将服务器的“xp_cmdshell”选项打开，参考如下的代码。

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE;

EXEC sp_configure 'xp_cmdshell', 1;

RECONFIGURE;

阅读 (0)|评论 (0)

北京奥运擂台十大“盖世神功” 中国男足上榜(组图)

08月28日 12:30 |编辑

北京奥运擂台十大“盖世神功” 中国男足上榜(组图)

“有人的地方，就有江湖”，在奥运擂台上，赛场就是“武林”。每位“英雄”想做“盟主”都要有自己的“独门绝技”，为了提携赛场武侠才俊向前辈们看齐，特甄选北京奥运赛场十大具有“盖世神功”之高人，作为汝等武侠人生的目标。且看分解：

第一位水上漂

绝技持有人：菲尔普斯

理由：

从雅典的六金，到世锦赛的七金，再到北京的八金，菲尔普斯施展“水上漂”神功，用一个个数字诠释自己的伟大进步。就在他将一届奥运会个人取得金牌的纪录提升到八枚、将历届奥运金牌的总数提升到十四枚后，他面前留下的可供超越的纪录实在屈指可数，整个奥林匹克历史也随着“神童”的历史而越发光辉夺目。

“神童”已被媒体炒成了超人，他的身体，似乎是上帝专门为了游泳而塑造的。这也难怪他的教练鲍勃-鲍曼会慨叹：菲尔普斯在北京奥运会创造的一届奥运会独得8金的纪录，让任何人都难以企及，包括菲尔普斯自己。