上边输入的 net user user1 /add 和 net localgroup administrators user1 /add是不是很眼熟？它们就是我们上面用过的windows系统下的标准命令。图6可以看出user1已增加到管理员administrators组中。

图6

　　看到这明白了吧！通过功能强大的sql server可以做windows系统管理员能做的事。上面通过sql server建立用户的实验是我从本机远程连接到测试机的sql server，增加了用户，图7是用刚建立的用户user1和远程计算机建立的ipc连接，这时要进入这台机器就是易如反掌的事了。接下来的的安全知识自己查查吧，网上非常多的。

图7

　　3、进一步解释

　　上面用的xp_cmdshell是sql server的扩展存储过程中的一个，存储过程就像是我们编程用的函数，内容是按需要编写的一系列sql 语句和可选控制流语句，可由应用程序通过一个调用执行，而且允许用户声明变量、有条件执行以及其它强大的编程功能。每个库都可以存放存储过程，但扩展存储过程只存在master 数据库中，对用户来说，扩展存储过程与普通存储过程一样，执行方法也相同。但扩展存储过程能执行除了数据库之外的许多操作，上面我们看到通过调用xp_cmdshell可以执行windows系统下的各种命令。

　　扩展存储过程的功能非常强大，如图8，它们存在master库中的扩展存储过程中。

　　如xp_regenumvalues、 xp_regread、 xp_regwrite 、xp_regdeletevalue、 xp_regdeletekey这些扩展存储过程能对注册表进行读写操作。例如：可以通过下面命令查看注册表中的启动项目。

　　exec xp_regenumvalues ''hkey_local_machine'',''software\microsoft\windows\currentversion\run''

图8

　　二、注入和跨库攻击

　　注入和跨库攻击可能是2004年黑客攻击中最流行的词了，它的原理和上面讲的都是获得了sql server管理员sa的权限，从而控制数据库，还可以利用xp_cmdshell这样的sql server的扩展存储过程控制windows系统。注入和空口令获取sa权限的方法不同，注入是asp程序在连接sql server时有漏洞，黑客利用漏洞获取了sa权限。说到这，小王有点疑问，程序中sa连接的是自己的库而扩展存储过程在master库中，如何利用的？简单的说，有sa 的权限后就能查询出用户建的什么库，库中有哪些表，表中有什么字段，表的纪录等。这些又是如何实现的呢？

　　要解答这个问题需要从两个方面着手，一是新建个库后，sql server起了什么变化？二是sql server的权限。

　　1、新建一个库后其在系统库和系统表的位置

　　例：在sql server新建一个库，库名称为：xyz，在该库下建一个test的表，表中字段为id、name、password。

　　1）、库在哪里？
　　sql server安装完毕后默认安装了master、model、msdb、northwind、pubs、tempdb这6个库，其中northwind、pubs是例子库，其它都是系统数据库，各有其用。xyz库建好后，库名称存在master库中的sysdatabases表中，如图9所示，sysdatabases表中的 dbid字段的值大于6的就是用户自己建的库。图10中用select name from sysdatabases where dbid>6可以查出用户自己建的库，刚建的xyz库也在其中。

图9



图10