Wednesday, February 1, 2012

TinKode hacker

NASA Goddard Space Flight Center – (Hacked)1 Server Access. More here: http://goo.gl/0OMQ8, TinKode
17Apr2012
European Space Agency (ESA.INT) Hacked - Full Disclosure By TinKode. More here: http://goo.gl/SkNAv
27Mar2012
Oracle Sun Microsystems (www.sun.com) vulnerable to SQL Injection. More here: http://goo.gl/hNW9k - TinKode
27Mar2012
MySQL.com (also mysql france,japan,italy,germany,etc) Full Disclosure - Hacked (The real pwnage by TinKode & Ne0h): http://goo.gl/X0WLo
20Mar2012
Romanian hackers strikes Hungarian extremists - RNS BACK: http://goo.gl/Gmk6z
20Mar2012
ESET Nod32 Romania - Hacked again. Read here more: http://tinkode27.baywords.com/eset-nod32-romania-hacked-again-2/
8Mar2012
"Phishing" with google.com - creating realistic fake webpages. Read here: http://tinkode27.baywords.com/phishing-with-google/
27Feb2012
Advanced MySQL Injection - Cookie filter evasion -> Video Tutorial URL: (http://goo.gl/NjhIh)
5Ian2011
ISR Trinity Bomb DDoS Tool (video for proof of concept) tested on Pentagon official website + BackTrack-Linux.org. More: http://goo.gl/BxznT
3Dec2010
Another XSS found on translate.google.com, more here (post updated): http://goo.gl/fVWRs | TinKode @ InSecurity.Ro
1Dec2010
Google.com vulnerable to XSS, Video + Screenshots (article) here: http://goo.gl/fVWRs @ InSecurity.Ro
6Nov2010
Minister Of Defence United Kingdom (www.mod.uk) - HACKED @ TinKode: http://bit.ly/98ykSc
31Oct2010
weather.gov (water) Website Hacked - Full Disclosure | TinKode @ InSecurity.Ro. Link: http://bit.ly/ajqSlj
31Oct2010
U.S. Army Civil Affairs & Psychological Operations Command [Website Hacked] @ Link : http://goo.gl/ckYV
31Oct2010
US Army 470th MI Brigade WebSite Hacked – Full Disclosure @ TinKode http://goo.gl/MjBz
1Oct2010
Piteous security on Reuters.com - HACKED, TinKode @ insecurity.ro - http://bit.ly/bHimYO
4Jun2010
Youtube vulnerable to HTML Code Injection - Read here: http://blog.insecurity.ro/youtube-html-code-injection/ TinKode
10Jun2010
BtiTracker 1.3.x - 1.4.x [Exploit] - [Python] - [TinKode] http://blog.insecurity.ro/btitracker-1-3-x-1-4-x-exploit-tinkode/
6Jun2010
Shelling vBulletin 4.0.x & 3.x - XML method - More here: http://blog.insecurity.ro/shelling-vbulletin-4-0-x-3-8-x-xml/
12May2010
Department of Nursing Science US Army website Hacked http://tinkode.insecurity.ro/2010/dns-amedd-army-mil-owned/ TinKode
25Apr2010
WhiteHouse.gov XSS Vulnerability « TinKode Stuff http://bit.ly/cd94dI
15Apr2010
(metc.mil) Medical Education & Training Campus Hacked www.tinkode.insecurity.ro/2010/us-army-medical-department-regiment-hacked/
2Apr2010
US Army Medical Department Regiment Hacked - InSecurity Romania (ISR) TinKode http://bit.ly/ciza1U
22Mar2010
ESET NOD32 Taiwan vulnerable to SQLi Full Disclosure http://insecurity.baywords.com/index.php/eset-nod32-taiwan-full-disclosure/
21Mar2010
ESET NOD32 Hong Kong Hacked @ TinKode & VMw4r3 http://bit.ly/auATTz
4Mar2010
IBM Hacked Full Disclosure SQL Injection http://insecurity.baywords.com/index.php/ibm-full-disclosure-sql-injection/
1Mar2010
Avast,Avira,Nero Full Disclosure Accounts Exposed [Hacked] http://bit.ly/98tj3E
21Feb2010
CNN Hacked, vulnerable to SQL Injection (Oracle Inj), TinKode http://insecurity.baywords.com/index.php/cnn-vulnerable-to-sql-injection/
29Jan2010
Orange UK vulnerable to XSS and PHISHING, TinKode http://bit.ly/b5NUCO
24Jan2010
InvisionPowerBoard (IPB) Full Disclosure Exploit, TinKode http://tinkode.baywords.com/index.php/2010/01/ipb-full-disclosure-exploit-python
22Jan2010
NASA have problems again, Hacked, TinKode http://bit.ly/6VpyNE
20Jan2010
vBulletin (nulled) exploit all versions! http://tinkode.baywords.com/index.php/2010/01/vbulletin-files-directories-full-disclosure-nulled/
15Jan2010
US ARMY Full Disclosure Again MSSQL Injection http://tinkode.baywords.com/index.php/2010/01/us-army-full-disclosure-again-mssql-injection/
7Jan2010
Army.mil hacked, full disclosure, TinKode http://tinkode.baywords.com/index.php/2010/01/army-mil-full-disclosure/
2Jan2010
Yahoo Blind SQL Injection, TinKode, c0de.breaker, http://tinkode.baywords.com/index.php/2010/01/yahoo-blind-sql-injection/
29dec2009
How to find XSS in NASA with GOOGLE, LOL http://tinkode.baywords.com/index.php/2009/12/how-to-find-xss-in-nasa/
27dec2009
Apple Hacked by TinKode, Blind SQL Injection http://tinkode.baywords.com/index.php/2009/12/apple-blind-sql-injection-tinkode/
13dec2009
http://bit.ly/7l37SH NASA Again Vulnerable - MSSQL Injection, HACKED, TinKode, c0de.breaker
11dec2009
http://tinyurl.com/yb22qrt Nasa again Full Disclosure, hacked, SQL Injection, TinKode, c0de.breaker
11dec2009
http://tinyurl.com/ygdle6r Nasa.gov hacked SQLi, full access, owned
11dec2009
http://tinyurl.com/ybp6ajq ESET NOD 32 Hacked, Control Panel
 11dec2009
http://tinyurl.com/yzjvpu6 Sourceforge LFI (Local File Inclusion)
11dec2009
http://tinyurl.com/yj73vzj Kaspersky Thailand Full Access, Owned, Hacked



TinKode Facebook

TinKode (Lazy but Smart)
Social Engineering in lumea reala.


Bun venit pe noul meu blog (slacker.ro). Pe internet sunt cunoscut drept TinKode aka c0de.breaker originar din Romania. In viata de zi cu zi sunt o persoana normala care isi petrece foarte putin timp pe internet. Tot ce am realizat pana in acest moment a fost doar pentru a-mi hranii hobby-ul si sub nici o forma pentru a-mi gasii un loc de munca cum majoritatea cred mai ales cei care ma iubeste negativ. Cam asta a fost simpla si scurta descriere despre mine.

Acum sa revenim la lucruri importante. In urmatoarele randuri voi povestii o mica intamplare intentionata ce am gandit-o cu 2 prieteni mai vechi si care evident a fost un succes total. Deci cum a inceput totul? Intr-o zi de august cand o ardeam aiurea cu un prieten de-al meu la o bere si admirand formele femelelor ce treceau pe langa noi, a intervenit un al 3 prieten comun care a inceput sa se vaite ca nu mai are bani sa isi plateasca ratele de la CETELEM si alte tampenii de genul. A vorbit atat de mult despre acest subiect incat ne-am propus sa vedem daca reusim sa platim toate ratele fara nici un ban, normal facand un experiment social in acelasi timp – mai mult pentru a nu ii mai auzii offff-urile cred :-).

Primul lucru de pe lista a fost sa ne informam despre o locatie cu securitatea mai scazuta pentru a putea extrage informati vitale care ne-ar duce la sursa. Am intrat pe site-ul lor (cetelem.ro) la sectiunea Modalitati de Plata si am considerat ca Posta Romana ar fii veriga slaba (era firesc deoarece dupa cum stiti si voi la CEC exista acele ghisee inchise unde nu prea ai sanse sa vezi multe, iar transferul bancar se exclude din prima).

CETELEM Info: (img8.imageshack.us/img8/5346/ceteleminfo.png)

Totul e ok pana acum. Urmatorul pas a fost sa studiem campul de lupta si personalul. Am ales unul dintre cele mai mari oficii postale din oras cu scopul sa nu dam de banuit ca vrem sa facem ceva necurat pierdandu-ne prin multime si pentru ca probabilitatea de a se intample lucruri mai neobisnuite e mult mai mare fiind un atuu pentru noi. Ne-am pus la rand sa platim pe o luna de zile rata. Intre mine si biroul angajatei era un fel de zid de protectie lat de vreo 30 de cm. Am observat ca intre birou si acest zid era un spatiu liber de 10-15 cm, ca parola de la cont era una simpla si care putea / poate fii vazuta de oricine (o tasteaza in fata ta) si anume: 1234567*. Un progres destul de mare pana in momentul acela.

Ce ne lipsea? Numele utilizatorului si pagina de logare. Pentru a le obtine am fost nevoiti sa cumparam in rate (prin CETELEM categoric) un HDD extern in valoare de 3/4 milioane (suma mica in comparatie cu cea a amicului meu), bineinteles pe numele unui tampit caruia i-am dat 20 de lei. Am ales o zi de luni fiind mai multa lume. M-am dus la ghiseu sa platesc, am ajutat o femeie care nu stia sa completeze datele necesare unui transfer prin WU sa devin unul de-al casei. Cand am ajuns la rand sa platesc mi-a cerut numele detinatorului cardului impreuna cu (virgula) cardul. I-am zis numele, dar cardul am tras putin de timp sa il dau pentru a o lasa pe victima sa se logheze pe pagina unde sa faceau platiile.

Cand si-a introdus nume : parola am gasit ca prin minune cardul, dar pe care l-am scapat din greseala in spatiul acela de 10-15 cm. Victima pe care am ales-o era una in varsta si mai plinuta, deci nu se apleca ea dupa card nici in ruptul capului, si dupa cum banuiam mi-a spus sa vin sa il i-au personal. Cand am ajuns in dreptul calculatorului am avut timp destul sa citesc si sa tin minte URL-ul; m-am bagat sub birou, am gasit card-ul, i l-am dat si in timpul acela am citit si username-ul situat in coltul dreapta-sus al site-ului. Deci acum am facut rost de pagina de logare + numele utilizatorului + parola. Pentru a verifica daca totul e ok si putem platii acel HDD, ne-am dus la un internet caffe, si a fost totul un succes. Dupa o luna de zile (timpul necesar pentru a verifica aia toate tranzactiile), am pus pe unu sa se duca sa plateasca urmatoarea rata. Ghiciti ce raspuns a primit!
“Domnule, deja ati platit toate ratele” dupa care ala si-a amintit ca achitase o ruda de a lui, sa-l scuze de deranj. Misiune indeplinita.

Note: In legatura cu platitul ratelor amicului meu a ales sa nu riste fiind vorba de o suma destul de serioasa! Asa ca a ramas doar la stadiul de experiment social, si nu pentru a-l folosii in scopuri personale. Multumesc, TinKode!
img8.imageshack.us
img8.imageshack.us

1 comentarii:

Post a Comment