普通用户使用xp_cmdshell.docVIP

如何在不提升用户权限的情况下， 使普通用户执行xp_cmdshell存储过程 xp_cmdshell是一个很危险的存储过程，通过它，可以访问操作系统的资源，但有时候我们也需要使用它来实现一些特殊的处理。 从安全的角度来考虑，禁用xp_cmdsehll是最保险的，即使为了特殊目的而要求使用它，也最好能够编写一些实现这个特殊目的的用户存储过程，只在这个用户存储过程中使用xp_cmdshell，而普通用户只能使用这些用户存储过程。 下面的示例显示如何使普通用户在不具有执行存储过程xp_cmdshell的权限下，调用包含了执行xp_cmdshell代码的用户存储过程的方法。 -- 1. 具有执行xp_cmdshell 权限的登录 USE master; GO -- 1.a. 建立登录 CREATE LOGIN Cmd_Login WITH PASSWORD = NPwd.123, CHECK_POLICY = OFF; GO -- 1.b. 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏 DENY CONNECT SQL TO Cmd_Login; GO -- 1.c. 因为要调用xp_cmdshell , 所以在master 中要有用户, 并具有权限 CREATE USER Cmd_Login FOR LOGIN Cmd_Login WITH DEFAULT_SCHEMA = dbo; GRANT EXECUTE ON sys.xp_cmdshell TO Cmd_Login; GO -- 2. 用户数据库 USE tempdb; GO -- 2.a 为执行xp_cmdshell 权限的登录建立用户 CREATE USER Cmd_Login FOR LOGIN Cmd_Login WITH DEFAULT_SCHEMA = dbo; GO -- 2.b 测试存储过程 CREATE PROC dbo.p WITH EXECUTE AS NCmd_Login -- 指定存储过程的执行时的上下文 AS EXEC master.sys.xp_cmdshell dir c:\ GO -- 3. 调用存储过程的普通登录 USE master; GO -- 3.a 登录 CREATE LOGIN test WITH PASSWORD = Nabc.123, CHECK_POLICY = OFF; GO -- 3.b 数据库用户 USE tempdb; GO CREATE USER test FOR LOGIN test; GO -- 3.c 执行存储过程的权限 GRANT EXECUTE ON dbo.p TO test; GO -- 3.d 执行测试 EXECUTE AS LOGIN = Ntest; GO EXEC dbo.p; GO REVERT; GO -- 4. 删除测试 DROP PROC dbo.p; DROP USER test; DROP USER Cmd_Login; USE master; DROP LOGIN test; DROP USER Cmd_Login; DROP LOGIN Cmd_Login; 补充说明多数情况下，数据库的所有者是sa一类的sysadmin固定服务器角色的成员，所以在这种情况下，也可以直接指定使用数据库所有者作为存储过程执行的安全上下文。 -- 2. 用户数据库 USE tempdb; GO -- 2.b 测试存储过程 CREATE PROC dbo.p WITH EXECUTE AS Ndbo -- 指定存储过程的执行时的上下文 ASEXEC master.sys.xp_cmdshell dir c:\ GO - 3. 调用存储过程的普通登录 USE master; GO -- 3.a 登录 CREATE LOGIN test WITH PASSWORD = Nabc.123, CHECK_POLICY = OFF; GO-- 3.b 数据库用户 USE tempdb; GO CREATE USER test FOR LOGIN test; GO -- 3.c 执行存储过程的权限 GRANT EXECUTE ON dbo.p TO test; GO -- 3.d 执行测试 EXECUTE AS LOGIN = Ntest; GO EXEC dbo.p; GO REVERT; GO -- 4. 删除测试 DROP PROC dbo.p; DROP USER test; USE master; DROP LOGIN test; 使用前述方法的时候，实例中需要有xp_cmdshell代理帐户（默认是没有的）， 否