webshell提权有什么用，为什么现在web渗透，都用的是php写的源码

第一 PHP语言本身漏洞相当多，尤其是很多人不喜欢用最新版本，现在PHP8都发布了，现在竟然还有一大批人用PHP5.2， 越早的版本漏洞越多webshell提权有什么用。 漏洞多自然就好做渗透。

第二 PHP web框架漏洞也非常多。 国内最常用的PHP框架 thinkphp经常爆出各种严重漏洞，比如5.x的远程可执行命令漏洞，导致大量使用此框架的网站中招。 这个漏洞利用之容易，做个程序可以随便感染一大批网站。 有的人利用这个漏洞拿到的肉鸡多到自己都数不过来。

反观Java web， 大多数人都会用sprint 全家桶。 而Spring MVC 和Spring security提供的安全认证，起安全性都是非常强的。

虽然Spring也出一些漏洞，但是我印象中还没有出过非常容易利用，非常简单就能拿到最高权限的傻瓜式漏洞。

第三 网上劣质php源码最多。 很多人是根本不具备独立编程能力的，这些所谓的“程序员”最喜欢干的事是去网上下载各种免费源码，然后改吧改吧就算自己做了网站了。

这种免费源码，以PHP居多。什么的dede CMS，什么xxshop，xxmall，微盟， 这里垃圾PHP源码简直是千疮百孔，漏洞百出。可以说是黑客们的最爱。 用这类垃圾源码最的网站，随便一个中学生捣鼓捣鼓就能入侵， 简直和裸奔没啥区别。

同时，会用这些垃圾代码做网站的程序员，一般水平都不会太高，按理说连编程入门都算不上。这些所谓程序自然根本无法做到防止黑客入侵。

第四 很多人安全意识太差。 不管你用什么语言做网站，大多都要在网站程序外在跑一个Nginx，apache，或者IIS。 即使使用Java， Nginx 做反向代理+静态处理，后面再加tomcat的构架也很多。

凡是，很多人要么是技术不到位，要么是偷懒，不去自己编译tomcat或者apache，而是用网上现成的的一键安装包或者傻瓜安装程序。这些程序可能会默认安装PHP支持。

也就是说，一些安全意识不强或者水平比较差的程序员编写的java web 很有可能也会支持PHP。

很多人在入侵提权的时候，不管你是什么网站，都会先试一下PHP能不能执行，入侵几率比较高。

关于最后一个问题， 如果你找到了Java web的漏洞，可以上传文件了， 下一步要做的就是提权。这个时候你直接上传Java源代码是没有用的。 php是动态执行的，源码可以直接被执行，而Java则需要编译。

拿到上传权限后想提权，就必须先弄清楚对方服务器的jre版本，然后再本地用相应的版本编译后，再把jar包传上去，才能够执行。

这里还有一个不同，一般php提权，只需要拿到网站根目录的上传权限即可。 但是Java web 很有可能网站的根目录，和存放可执行jar包的目录不是一个目录，想要执行Java代码，你就必须想法拿到jar包所在目录的上传权限（同时也要拿到网站根目录权限），这是一个难点。

以上内容是计算机专业通用的书籍，但由于我是一名Java程序员，所以我也看了很多Java后端方向的书籍，下面我把这些书也推荐给大家，当然，大部分书籍适合的是Java后端这个方向。Java基础1 Java编程思想这本书也是被誉为Java神书的存在了，但是对新手不友好，适合有些基础再看，当然要选择性地看。我当时大概只看了1/32 Java核心技术卷一这本书还是比较适合入门的，当然，这种厚皮书要看完还是很有难度的，不过比起上面那本要简单一些Java进阶1 深入理解JVM虚拟机这本书是Java开发者必须看的书，很多jvm的文章都是提取这本书的内容。JVM是Java虚拟机，赋予了Java程序生命，所以好好看看把，我自己就已经看了三遍了。2 Java并发编程实战这本书是Java 并发包作者写的书，所以非常权威，但是比较晦涩难懂，我看的云里雾里的，大家可以按需选择。3 Java并发编程艺术这本书是国内作者写的Java并发书籍，比上面那一本更简单易懂，适合作为并发编程的入门书籍，当然，学习并发原理之前，还是先把Java的多线程搞懂吧。4 Effective Java这本书和Java编程思想一样被称为神书，主要讲的是Java的一些优化技巧和规范，没有一定开发经验的人看这本书会觉得索然无味，不知所云，所以，先搁着吧。5 Java性能调优指南说到JVM调优，可能会有很多的面试题浮现在你的脑海里，这本书比较权威地讲解了Java的性能调优方法，不过我还没怎么看，有空好好看看。6 Netty权威指南Netty是基于NIO开发的网络编程框架，使用Java代码编程，其实这本书也可以放在网络或者Java Web部分。不过NIO属于JDK自带的一部分，是必须要掌握的，而对于Netty，大家如果学有余力的话也可以看看。JavaWeb0 深入JavaWeb技术内幕这本书是Java Web的集大成之作，涵盖了大部分Java Web开发的知识点，不过一本书显然无法把所有细节都讲完，但是作为Java Web的入门或者进阶书籍来看的话还是很不错的。1 How Tomcat WorksJava Web很重要的一部分内容就是Tomcat，作为应用服务器，Tomcat使用Java开发，其源代码和架构设计都是经典之作。这是一本讲解Tomcat基本原理的书籍，很好地通过剖析源码来讲解Tomcat的内部结构和运行机制，但是需要一定的基础才能够看懂，我还没看这本书，日后再拜读。2 Tomcat架构解析和上面这本书类似，主要讲解Tomcat原理和架构，，要看懂这本书的话，前提是你要对Java基础，NIO以及设计模式有所了解。这本书我也还没看。3 Spring实战这本书适合作为Spring的入门书籍，把Spring的概念，使用方式等内容都讲的比较清楚。并且也介绍了Spring MVC的部分内容，Spring框架还是更注重实践的，所以跟着书上的内容去做吧。4 Spring源码深度解析学会Spring基础后，可以花点时间看看这本讲源码的书了，这本书对于新手来说不太友好，主要也是因为Spring的代码结构比较复杂，大家也可以看一些博客来完成对源码的学习。5 Spring MVC学习指南本书是一本Spring MVC的教程，内容细致、讲解清晰，非常适合Web开发者和想要使用Spring MVC开发基于Java的Web应用的读者阅读。但是由于出的比较早，所以不太适合现在版本。6 Maven实战Maven是Java Web开发中不可缺少的一部分，如果想要全面了解其实现原理的话，可以看看这本书。数据库0 数据库原理数据库原理应该是教材吧，这本书作为数据库入门来说还是可以的，毕竟不是专门做DB的，看大厚书用处不大，这本书把数据库的基本概念都讲完了。1 sql必知必会这本书主要是讲解sql语句怎么写，毕竟数据库最重要的一点就是要熟练地使用sql语句，当然这本书也可以当做工具书来使用。2 深入浅出MySQL这本书适合作为MySQL的学习书籍，当你有了一定的MySQL使用经验后，可以看看它，该书从数据库的基础、开发、优化、管理维护和架构5个方面对MySQL进行了详细的介绍，讲的不算特别深，但是足够我们使用了。这本书我也只看了一部分。3 MySQL技术内幕：innodb存储引擎看完上面那本书以后，对MySQL算是比较熟悉了，不过对于面试中常考的innodb引擎，还是推荐一下这本书把，专门讲解了innodb存储引擎的相关内容。我还没有细看，但是内容足够你学好innodb了。4 高性能Mysql这本书可以说是很厚了，更适合DBA拜读，讲的太详细了，打扰了。5 Redis实战和MySQL一样，学习Redis的第一步最好也是先实战一下，通过这本书就可以较好地掌握Redis的使用方法，以及相关数据结构了。6 Redis设计与实现该书全面而完整地讲解了 Redis 的内部运行机制,对 Redis 的大多数单机功能以及所有多机功能的实现原理进行了介绍。这本书把Redis的基本原理讲的一清二楚，包括数据结构，持久化，集群等内容，有空应该看看。