LEVEL 7

dreamschool

web
  • 문제 정보
  • 풀이 18
  • 난이도 투표 50
  • 질문 3
  • 최근 풀이자 175
  • 댓글 18
해당 문제는 Dreamhack CTF Season 1 Round #11 에 출제된 문제입니다.

문제 설명

Description

전세계 모든 학교를 위한 학교 커뮤니티, dreamschool

안녕하세요! 저는 초등학교부터 대학교까지 모든 학교를 위한 커뮤니티인 dreamschool을 관리하고 있는 드림이에요💙

드림대학교의 비밀게시판에서 이상한 일을 벌이고 있다는 소식을 들었는데, 게시판에 잠금이 걸려서 관리자인 저도 볼 수가 없네요😢

드림대학교에서 무슨 일이 일어나고 있는지 꼭 찾아봐주세요!

난이도 투표 50

질문 3

문제 풀이에 어려움이 있으신가요?
커뮤니티에서 문제에 대한 질문하고 답변 얻기
30%는 한거같은데 도와주세요...
ssti로 config정보 릭해서 SECRET_KEY랑 AUTH_PUBLIC_KEY얻긴 했는데 그 이후로 의문입니다. import os from Crypto.PublicKey import RSA def rsa_key() -> tuple[bytes, bytes]: key = RSA.generate(1024) return ( key.public_key().exportKey(), key.exportKey(), ) basedir = os.path.abspath(os.path.dirname(file)) class Production: DEBUG = False SECRET_KEY = os.urandom(32) SQLALCHEMY_DATABASE_URI = "sqlite:///" + os.path.join(basedir, "database.db") TIMEZONE = "Asia/Seoul" AUTH_PUBLIC_KEY, AUTH_PRIVATE_KEY = rsa_key() FLAG_SCHOOL = os.environ.get("FLAG_SCHOOL", "드림고등학교") class Development: DEBUG = True SECRET_KEY = "💙" SQLALCHEMY_DATABASE_URI = "sqlite:///" + os.path.join(basedir, "database.db") TIMEZONE = "Asia/Seoul" AUTH_PUBLIC_KEY, AUTH_PRIVATE_KEY = rsa_key() FLAG_SCHOOL = os.environ.get("FLAG_SCHOOL", "드림고등학교") config.py보면 코드가 이런데 드림고등학교는 드림대학교 쓰려던것 같고 가장 의문인건 왜 ssti로 AUTH_PRIVATE_KEY가 릭이 안되는지... AUTH_PUBLIC_KEY랑 같이 변수로 선언된거같은데 왜 하나는 릭되고 하나는 안되는지 궁금합니다. AUTH_PRIVATE_KEY를 알아야 jwt를 건드려서 무언가 시도해볼 수 있을것같은데... AUTH_PUBLIC_KEY로만 가능하진 않을거고.. 또 SECRET_KEY는 코드상에서 안쓰는것같던데 왜있는걸까요? 페이크인걸까요? jwt만 변조해서는 될지 안될지는 잘 모르겠지만 일단 학교를 드림대학교라고 속이는데 가장 유력한게 jwt변조인것같은데 제가 잘못 접근하는걸까요? 고수님들 도와주세요...ㅠㅠ
avatar Sechack
LEVEL 7

dreamschool

web

출제자 정보

avatar
Dreamhack
대표 업적 없음

First Blood!

zero829
CTF Third Place
출제된 지 3시간 만에 풀이 완료!

최근 풀이자 175

명욱
꿈나무
Dirstibone
워게임 풀이: 1
Y0us
워게임: 50
avatar
numbbvi
대표 업적 없음
bigwhaleking
컴퍼니
avatar
HunSec
Open Beta Tester
Tide
Crazy 8
이누
대표 업적 없음
qpal
대표 업적 없음
preo
대표 업적 없음

댓글 18

Dirstibone
워게임 풀이: 1
재밌었습니다.
avatar
filime
Christmas CTF 참여
브포 돌려놓고 한숨 자고 왓습니다
avatar
j1won
휴머노이드
도커파일을 잘 봅시다아..
kyungjle
리버싱 입문
아 ssti가 터지는구나..
avatar
Dyo
CTF First Place
여러가지 있네요,,,
avatar
Predic
웹해킹 고인물
후 힘들었다
avatar
Nayehalang
대표 업적 없음
재밌어용
LOBYI
대표 업적 없음
과정이 다소 복잡했지만 재밌었습니다!!
avatar
아이유참좋다
리버싱 입문
꿀꿀잼잼꿀꿀잼
avatar
zzzsleep
워게임: 20
sleep...