BLOG2026-06-25
![[🌱 Sprout] 기본 자격증명으로 설정값 읽기 — DreamHack web-misconf-1 풀이](/images/blog/dreamhack-web-misconf-1-writeup/thumbnail.png)
blog
[🌱 Sprout] 기본 자격증명으로 설정값 읽기 — DreamHack web-misconf-1 풀이
Grafana 6.6.2의 admin 비밀번호가 초기값 admin 그대로다. 기본 자격증명으로 로그인한 뒤 /api/admin/settings 가 실행 중 설정을 통째로 돌려주는데, 민감 키만 가려지고 평범한 키는 평문이라 auth.anonymous.org_name 에 숨겨둔 플래그가 그대로 노출된다.
#dreamhack#ctf#web+4
![[🥉 Bronze 1] SQL인 척하는 JSON, 진짜 구멍은 WebDAV PUT — DreamHack Really Not SQL 풀이](/images/blog/dreamhack-really-not-sql-writeup/thumbnail.png)