전체 글345 [풀이X삽질O]hackthebox - jerry nmap -sV -O 10.10.10.95 8080 포트만 나왔다. Apache Tomcat으로 서버를 구동하고 있구나... jsp 쓰는구나.. os는 윈도우이구나 msfconsole search jsp 이게 눈에 띄는구만 use 57 show info jsp upload 우회로 tomcat RCE 취약점... 내가 원하는 거 맞고, target도 windows 존재하고.. description : 이 모듈은 jsp payload를 업로드해서 실행한다. 파일 업로드 취약점?? 게시판 등의 파일을 업로드할 수 있는 기능을 악용해 파일 업로드를 통해 시스템 권한을 장악하는 기법 보통 악의적인 스크립트가 포함된 소스파일을 첨부할 수 없게 막아 놓아야 하지만, 실수로 업로드를 가능하게 한다. 이때 악성 스크립트.. 2021. 7. 18. Redis 시작하기, 명령어, flask와 연동 flask로 백엔드를 개발하는데, 각 api마다 공유할 딕셔너리와 변수가 있다. 해결 방법이 생각이 안나 전역변수로 코딩을 하기 시작했다. 하지만 양심의 가책... 이러면 안된다는 생각이 끊이질 않았고, 해결 방법을 찾아봤다. 그러다 발견한 redis 공식 문서 https://www.tutorialspoint.com/redis/redis_hashes.htm Redis - Hashes - Tutorialspoint Redis - Hashes Redis Hashes are maps between the string fields and the string values. Hence, they are the perfect data type to represent objects. In Redis, every has.. 2021. 7. 16. hackthebox - machines - Cap [https://blog.gauravraj.tech/posts/cap-hackthebox-machine-writeup-and-walkthrough/] [https://domdom.tistory.com/98] 깨달은 생각의 흐름 의문점 ftp - ftp는 익명 로그인이 되지 않는다. -> ID, PASSWORD 인증 시 암호화가 이루어지지 않아 네트워크 스니핑에 취약하다는 걸 의미하는 듯 ssh - ssh는 암호화된 통신을 한다. http 10.10.10.245 접속하면 웹 사이트가 뜬다. -> 포트스캔 결과인 gunicorn이 http 서버라고 한다. 이를 통해 웹 서버일 수 있겠구나, 파악할 수 있는 것 몇 개 클릭하다보면, 다운로드 버튼이 뜬다. 일단 다운로드 해본다. 1.pcap 파일이 다운받아질 .. 2021. 7. 14. [Flask-3]ORM 라이브러리 이용해 DB 연동 혼자 공부하며 정리한 거라 두서 없음. [https://wikidocs.net/81045] 이거 보면서 공부했음 ORM이란? Object-Relational-Mapping DB객체를 객체지향 프로그래밍 언어로 변환하는 기법 Flask에서 ORM을 구현할 수 있게 해주는 라이브러리 SQLAlchemy pip install Flask-Migrate 하면 ORM 라이브러리인 SQLAlchemy, alembic도 함께 설치된다. 또한 python model을 이용해 테이블을 생성하고 컬럼을 추가할 수 있다. pip install pymysql도 함께 설치 """ 코드는 [https://wikidocs.net/81045] 참조 """ . . - flask db init db 초기화 db를 관리하는 초기 파일들을 .. 2021. 7. 13. [Flask-2]개발 시작하기 - 애플리케이션 팩토리, 블루프린트 대충 파일 구조는 이렇다. flask run은 무조건 web-server/project 디렉터리에서 실행되어야 한다. __init__.py부터 하나하나 보자 app = Flask(__name__) 을 전역으로 사용할 때 생길 문제를 예방하기 위해 flask 공식 홈페이지에서 '애플리케이션 팩토리'를 사용하라고 권한다. 애플리케이션 팩토리 : app 객체를 생성하는 함수 위의 create_app 함수가 애플리케이션 팩토리. create_app 말고 다른 함수의 이름을 사용하면 안된다. 플라스크 내부에서 지정한 함수명이다. 이렇게 작성한다면, 새로운 url이 생길 때마다 create_app 함수 안에 계속 라우트 함수를 추가해야 하는 불편함이 있다. 이때 사용할 수 있는 클래스가 블루프린트이다. views/.. 2021. 7. 13. [Flask-1]개발 환경 setting [출처 : https://wikidocs.net/81043] 가상 환경 생성 및 실행 폴더 하나 만들고 python -m venv [가상환경이름] cd [가상환경이름] cd Scripts activate Flask 설치 다시 원래 폴더로 돌아와서 pip install Flask * pip upgrade 명령어 : python -m pip install --upgrade pip 플라스크에서 프로젝트는 하나의 웹 사이트라고 생각하면 된다. 즉, 플라스크 프로젝트를 생성하면 웹 사이트를 한 개 생성하는 것과 같다. 또 하나의 프로젝트 안에는 보통 하나의 애플리케이션이 존재한다. [루트 디렉터리 안에 있음] mkdir [프로젝트 폴더 이름] [프로젝트 폴더] 로 들어가서 app.py 만들기(꼭 app.py로 만.. 2021. 7. 13. 이전 1 ··· 48 49 50 51 52 53 54 ··· 58 다음
