如何在不提升用户权限的情况下,使普通用户执行xp_cmdshell存储过程

原创 2008年09月19日 11:15:00
 

环境需求:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

SQL Server 2005 及之后的版本

 

背景

xp_cmdshell是一个很危险的存储过程,通过它,可以访问操作系统的资源,但有时候我们也需要使用它来实现一些特殊的处理。

从安全的角度来考虑,禁用xp_cmdsehll是最保险的,即使为了特殊目的而要求使用它,也最好能够编写一些实现这个特殊目的的用户存储过程,只在这个用户存储过程中使用xp_cmdshell,而普通用户只能使用这些用户存储过程。

 

正确的解决办法

下面的示例显示如何使普通用户在不具有执行存储过程xp_cmdshell的权限下,调用包含了执行xp_cmdshell代码的用户存储过程的方法。

-- 1. 具有执行xp_cmdshell 权限的登录

USE master;

GO

-- 1.a. 建立登录

CREATE LOGIN Cmd_Login

WITH PASSWORD = N'Pwd.123',

    CHECK_POLICY = OFF;

GO

-- 1.b. 这个登录是内置的, 不允许登录, 这样可以减少安全隐藏

DENY CONNECT SQL

    TO Cmd_Login;

GO

 

-- 1.c. 因为要调用xp_cmdshell , 所以在master 中要有用户, 并具有权限

CREATE USER Cmd_Login

FOR LOGIN Cmd_Login

WITH DEFAULT_SCHEMA = dbo;

 

GRANT EXECUTE ON sys.xp_cmdshell

    TO Cmd_Login;

GO

 

 

-- 2. 用户数据库

USE tempdb;

GO

 

-- 2.a 为执行xp_cmdshell 权限的登录建立用户

CREATE USER Cmd_Login

FOR LOGIN Cmd_Login

WITH DEFAULT_SCHEMA = dbo;

GO

 

-- 2.b 测试存储过程

CREATE PROC dbo.p

WITH EXECUTE AS N'Cmd_Login'  -- 指定存储过程的执行时的上下文

AS

    EXEC master.sys.xp_cmdshell 'dir c:/'

GO

 

 

-- 3. 调用存储过程的普通登录

USE master;

GO

-- 3.a 登录

CREATE LOGIN test

WITH PASSWORD = N'abc.123',

    CHECK_POLICY = OFF;

GO

 

-- 3.b 数据库用户

USE tempdb;

GO

CREATE USER test

FOR LOGIN test;

GO

 

-- 3.c 执行存储过程的权限

GRANT EXECUTE ON dbo.p

    TO test;

GO

 

-- 3.d 执行测试

EXECUTE AS LOGIN = N'test';

GO

EXEC dbo.p;

GO

REVERT;

GO

 

-- 4. 删除测试

DROP PROC dbo.p;

DROP USER test;

DROP USER Cmd_Login;

 

USE master;

DROP LOGIN test;

DROP USER Cmd_Login;

DROP LOGIN Cmd_Login;

 

补充说明

多数情况下,数据库的所有者是sa一类的sysadmin固定服务器角色的成员,所以在这种情况下,也可以直接指定使用数据库所有者作为存储过程执行的安全上下文。

-- 2. 用户数据库

USE tempdb;

GO

-- 2.b 测试存储过程

CREATE PROC dbo.p

WITH EXECUTE AS N'dbo'  -- 指定存储过程的执行时的上下文

AS

    EXEC master.sys.xp_cmdshell 'dir c:/'

GO

 

 

-- 3. 调用存储过程的普通登录

USE master;

GO

-- 3.a 登录

CREATE LOGIN test

WITH PASSWORD = N'abc.123',

    CHECK_POLICY = OFF;

GO

 

-- 3.b 数据库用户

USE tempdb;

GO

CREATE USER test

FOR LOGIN test;

GO

 

-- 3.c 执行存储过程的权限

GRANT EXECUTE ON dbo.p

    TO test;

GO

 

-- 3.d 执行测试

EXECUTE AS LOGIN = N'test';

GO

EXEC dbo.p;

GO

REVERT;

GO

 

-- 4. 删除测试

DROP PROC dbo.p;

DROP USER test;

 

USE master;

DROP LOGIN test;

 

使用前述方法的时候,实例中需要有xp_cmdshell代理帐户(默认是没有的), 否则会收到下面的错误信息。

消息15153,级别16,状态1,过程xp_cmdshell,第1

xp_cmdshell 代理帐户信息无法检索或无效。请验证'##xp_cmdshell_proxy_account##' 凭据存在并且包含有效的信息。

可以使用下面的代码创建xp_cmdshell代理帐户。

USE master;

GO

 

DECLARE

    @user sysname,

    @password sysname,

    @sql varchar(1000);

 

-- 在操作系统中为xp_cmdshell 代理帐户建立windows 用户

SELECT

    @user = N'XpCmdAccount',

    @password = N'P@ssw0rd.',

    @sql = 'NET USER "' + @user + '" "' + @password + '" /ADD';

EXEC sys.xp_cmdshell @sql;

 

-- 建立xp_cmdshell 代理帐户

SELECT

    @user = CONVERT(sysname, SERVERPROPERTY(N'MachineName'))

            + N'/' + @user;

EXEC sp_xp_cmdshell_proxy_account @user, @password;

 

最后说明一点,要使用xp_mdshell,得将服务器的“xp_cmdshell”选项打开,参考如下的代码。

EXEC sp_configure 'show advanced options', 1;

RECONFIGURE;

 

EXEC sp_configure 'xp_cmdshell', 1;

RECONFIGURE;

 

给某用户赋予跨数据库的执行存储过程权限

给某用户赋予跨数据库的执行存储过程权限 GRANT EXEC ON SCHEMA :: dbo TO [APP_TANGBANSERVICE]...
  • keenweiwei
  • keenweiwei
  • 2015年06月05日 11:36
  • 1525

ORA-01031 权限不足-过程中DBA 角色用户无法执行DDL

Oracle的存储过程,是我们使用数据库应用开发的重要工具手段。在存储过程中,我们大部分应用场景都是使用DML语句进行数据增删改操作。本篇中,我们一起探讨一下数据定义语句DDL在存储过程中使用的细节和...
  • liqfyiyi
  • liqfyiyi
  • 2015年04月11日 12:55
  • 2219

linux下允许普通用户执行关机(halt|shutdown)或重启(reboot)指令

1、使用suid让普通用户也具有重启linux系统的权限。 linux对权限把控比较严格,普通用户没有关机或重启的权限。 今天群里有朋友问,如何让linux的普通用户也有关机和重启的权限。 测试...
  • wenwenxiong
  • wenwenxiong
  • 2016年11月16日 18:17
  • 3289

SSRS:之为用户“NT AUTHORITY\NETWORK SERVICE”授予的权限不足,无法执行此操作。 (rsAccessDenied)

错误信息: 为用户“NT AUTHORITY\NETWORK SERVICE”授予的权限不足,无法执行此操作。 (rsAccessDenied) 如图:   ...
  • lanmao100
  • lanmao100
  • 2014年08月10日 16:50
  • 5422

如何在不提升用户权限的情况下,使普通用户执行xp_cmdshell存储过程2008-11-26 14:09:29SQL Server 2005 及之后的版本

 xp_cmdshell是一个很危险的存储过程,通过它,可以访问操作系统的资源,但有时候我们也需要使用它来实现一些特殊的处理。从安全的角度来考虑,禁用xp_cmdsehll是最保险的,即使为了特殊目的...
  • yatere
  • yatere
  • 2011年05月31日 16:43
  • 1544

[SQL Server]使用CLR存储过程替代xp_cmdshell

使用CLR存储过程替代xp_cmdshell
  • xiaoxu0123
  • xiaoxu0123
  • 2011年01月04日 10:46
  • 635

xp_cmdshell 存储过程简介

xp_cmdshell 以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出。授予非管理用户执行 xp_cmdshell 的权限。 说明  在 Microsoft&re...
  • zaocha321
  • zaocha321
  • 2012年11月22日 10:56
  • 1028

Hadoop架设过程中实现普通用户权限下SSH无密码登录

Hadoop架设过程中实现普通用户权限下SSH无密码登录 from http://snowfigure.diandian.com/post/2012-09-23/40038545536 ...
  • songchunyi
  • songchunyi
  • 2013年01月25日 11:32
  • 4204

Ubuntu下关于将普通用户权限提升为root的问题

PS:由于博主刚刚接触linux,所以喜欢吓琢磨。现在记录一下在将普通用户提升为root用户时出现的问题。问题的由来 博主一个好奇就想把自己的那个用户提升为root级别的,所以进行了如下操作。 su ...
  • u010873512
  • u010873512
  • 2015年12月10日 19:06
  • 462

Linux环境下提升普通用户权限(sudo)

一. Linux环境下提升普通用户权限(sudo) 用sudo让普通用户获得超级用户的一部分权利,能够做超级用户才能做的事情,还能够对普通用户身份做一些限制,指定某一个或某几个人来做,并且普通用户不需...
  • pingLinux
  • pingLinux
  • 2011年06月23日 11:27
  • 3996
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何在不提升用户权限的情况下,使普通用户执行xp_cmdshell存储过程
举报原因:
原因补充:

(最多只允许输入30个字)