webshell怎么获取数据库root权限

脚本里写密码不安全，可以编辑/etc/sudoers，将用root免密码执行某命令的权限付给普通用户，这样用户通过sudo就可以root权限执行命令：

比如：sudo -u root yourcommand、sudo -u root su

如果后台有备份就简单了

备份有两行

记住刚才小马的地址比如uploadfile/1231232131jpg

把这段复制到备份的第一行/database/213212-1231232mdb

替换database/213212-1231232mdb成uploadfile/1231232131jpg

下一行写xxxxasp

点备份

如果成功了的话 把得到的地址打到地址栏如果后缀是xxxaspasa

直接输入xxxasp

就简单介绍下拿webshell

打开腾讯电脑管家——工具箱——修复漏洞，进行漏洞扫描和修复。

建议设置开启自动修复漏洞功能，开启后，电脑管家可以在发现高危漏洞（仅包括高危漏洞，不包括其它漏洞）时，第一时间自动进行修复，无需用户参与，最大程度保证用户电脑安全。尤其适合老人、小孩或计算机初级水平用户使用。开启方式如下：进入电脑管家“修复漏洞”模块—“设置”，点击开启自动修复漏洞即可。

1、阿里云提示在xxxx服务器上发现木马文件，被植入了webshell。

2、木马文件路径：/web/tomcat-xxx/webapps/no3/ccjsp。

1、在未确认ccjsp文件功能之前，将webapps文件夹下的no3文件夹和no3war文件删除，同时将no3war文件备份到/home/xxx目录下。

2、同时将no3文件夹下的ccjsp文件发送到本地进行分析，确认是一个jsp的木马后门文件，可以获取远程服务器权限。

1、攻击者在webapps文件夹下上传了一个no3war文件，并创建了包含ccjsp木马文件的no3 文件夹，首先应找到上传的方式和路径。查看下网站，发现网站是采用的Tomcat容器。

2、进一步的思路是排查Tomcat本身的漏洞，查看Tomcat的配置文件tomcat-usersxml，发现Manager APP管理员弱口令。

3、可能的攻击思路是，通过Tomcat弱口令漏洞上传war格式的木马文件。

1、通过admin/admin弱口令登录 >

一 、安装ssdeep

下载ssdeep并安装 。

二、识别webshell实例

接下来我们下载一个webshell，试一试如何使用ssdeep来识别webshell

以b374kphp为例

首先获得webshell b374kphp的ssdeep hash(fuzzy hashing)值，并存储到b37_hashstxt文件中

ssdeep -b webshell/b374kphp >b37_hashstxt

cat b37_hashstxt

ssdeep,11--blocksize:hash:hash,filename384:UsaSwsF3RtJhwhxY5janx0Rig5xJx52FRsBU0ipgFHF3xR:44snx0Rig5x752EBUxpc5,"b374kphp"

然后使用这个值来获得相似度，相似度为100(当然啦，因为没有做任何修改)

ssdeep -bm b37_hashstxt webshell/b374kphp

b374kphp matches b37_hashstxt:b374kphp (100)

为了方便理解，我们拿ssdeep与md5做类比

md5 webshell/b374kphp

MD5 (webshell/b374kphp) = b8d3f0f9ad8b1083f24072f8cfe13e04

我们知道对文件取md5值是用于验证文件的完整性的，因为它对任意的修改都能感受到(hash碰撞小概率事件除外)

而ssdeep则用于计算文件相似度，它是通过计算上下文相关的分段hash值(fuzzy hashing)来判断文件相似度的。

在识别webshell的场景中，我们可以先获取样本的ssdeep hash值，然后设置相似度范围，来识别同一系列的变形shell

想想一个小白黑客获得一个好用的webshell后，第一件事会干嘛肯定是改变登录账号密码

cp webshell/b374kphp webshell/b374kphpbak

vim webshell/b374kphpbak

心思稍微重点的想绕过WAF的童鞋，说不定还会修改cookie中的关键字

例如批量替换cookie txtauth关键字

修改完毕后，分别用md5与ssdeep来看发生了什么

md5 webshell/b374kphpbak

MD5 (webshell/b374kphpbak) = b8d3f0f9ad8b1083f24072f8cfe13e04

md5值发生了变化，说明webshell文本内容发生了变化

接着使用ssdeep来查看修改后的webshell的相似度

ssdeep -bm b37_hashstxt webshell/

b374kphp matches b37_hashstxt:b374kphp (100) #原始webshellb374kphpbak matches b37_hashstxt:b374kphp (97)#修改了登录账号与作者标记b374kphpbak2 matches b37_hashstxt:b374kphp (88)#修改了登录账号、作者标记、cookie特征

最后，我们选择一个合适的相似度来判断是否为webshell(真实场景中，调参找到合适的阈值才是考验人的活)

例如，只筛选相似度90以上的

ssdeep -t 90 -bm b37_hashstxt webshell/

b374kphp matches b37_hashstxt:b374kphp (100)b374kphpbak matches b37_hashstxt:b374kphp (97)

三、扩展

除了使用ssdeep来查找相似的恶意软件(静态文本)，我们还可以逆向思维，根据相似度来判断混在正常进程中的恶意进程，依据是进程在运行时由于变量变化而发生的变动是轻微的，而代码被加壳后的的变化是相当显著的，例如UPX加壳会使相似度瞬降到0%。

以上就是关于webshell怎么获取数据库root权限全部的内容，包括:webshell怎么获取数据库root权限、拿站问题，拿到管理后台用户名和密码了，下来怎么办拿WEBSHELL，和提权拿服务器吗怎么拿，方法………、如何针对JBoss漏洞获取Webshell等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！