如何在不提升用户权限的情况下,使普通用户执行xp_cmdshell存储过程
环境需求:<!----><o:p></o:p>
SQL Server 2005 及之后的版本<o:p></o:p>
<o:p> </o:p>
背景<o:p></o:p>
xp_cmdshell是一个很危险的存储过程,通过它,可以访问操作系统的资源,但有时候我们也需要使用它来实现一些特殊的处理。
从安全的角度来考虑,禁用xp_cmdsehll是最保险的,即使为了特殊目的而要求使用它,也最好能够编写一些实现这个特殊目的的用户存储过程,只在这个用户存储过程中使用xp_cmdshell,而普通用户只能使用这些用户存储过程。
<o:p> </o:p>
正确的解决办法<o:p></o:p>
下面的示例显示如何使普通用户在不具有执行存储过程xp_cmdshell的权限下,调用包含了执行xp_cmdshell代码的用户存储过程的方法。
-- 1. 具有执行xp_cmdshell 权限的登录<o:p></o:p>
USE master;<o:p></o:p>
GO<o:p></o:p>
-- 1.a. 建立登录<o:p></o:p>
CREATE LOGIN Cmd_Login<o:p></o:p>
WITH PASSWORD = N'Pwd.123',<o:p></o:p>
CHECK_POLICY = OFF;<o:p></o:p>
GO<o:p></o:p>
-- 1.b. 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏<o:p></o:p>
DENY CONNECT SQL<o:p></o:p>
TO Cmd_Login;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 1.c. 因为要调用xp_cmdshell , 所以在master 中要有用户, 并具有权限<o:p></o:p>
CREATE USER Cmd_Login<o:p></o:p>
FOR LOGIN Cmd_Login<o:p></o:p>
WITH DEFAULT_SCHEMA = dbo;<o:p></o:p>
<o:p> </o:p>
GRANT EXECUTE ON sys.xp_cmdshell<o:p></o:p>
TO Cmd_Login;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
-- 2. 用户数据库<o:p></o:p>
USE tempdb;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 2.a 为执行xp_cmdshell 权限的登录建立用户<o:p></o:p>
CREATE USER Cmd_Login<o:p></o:p>
FOR LOGIN Cmd_Login<o:p></o:p>
WITH DEFAULT_SCHEMA = dbo;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 2.b 测试存储过程<o:p></o:p>
CREATE PROC dbo.p<o:p></o:p>
WITH EXECUTE AS N'Cmd_Login' -- 指定存储过程的执行时的上下文<o:p></o:p>
AS<o:p></o:p>
EXEC master.sys.xp_cmdshell 'dir c:\'<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
-- 3. 调用存储过程的普通登录<o:p></o:p>
USE master;<o:p></o:p>
GO<o:p></o:p>
-- 3.a 登录<o:p></o:p>
CREATE LOGIN test<o:p></o:p>
WITH PASSWORD = N'abc.123',<o:p></o:p>
CHECK_POLICY = OFF;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 3.b 数据库用户<o:p></o:p>
USE tempdb;<o:p></o:p>
GO<o:p></o:p>
CREATE USER test<o:p></o:p>
FOR LOGIN test;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 3.c 执行存储过程的权限<o:p></o:p>
GRANT EXECUTE ON dbo.p<o:p></o:p>
TO test;<o:p></o:p>
GO<o:p></o:p>
<o:p> </o:p>
-- 3.d 执行测试<o:p></o:p>