Взлом телеграм ботов

[Inkognitto001]

Можете дать почитать какие-то мануалы, если они помогут мне, без знания програмирования разобраться с поиском уязвимостей в телеграм ботах.

Знакомый кодер каким-то образом получает доступы к серверам на которых лежат боты. И может выполнять различные функции в этих ботах.

Интересно самому разобраться в этом.

PS: мой уровень сейчас - имея скрипт бота я даже не знаю как его установить на сервак.

К примеру сейчас есть у меня один скрипт бота. И он соотвественно стоит на одном username. Я хочу размножить его на несколько usernames.


Буду благодарен любой информации.
Чтобы я хотя бы мог сам запускать готовые скрипты, а так же мог проверить их на уязвимости, и быть уверенным что если кодер делает мне бота, то информация из этого бота не сливается кодеру.

 

[RedCap]

это довольно сложно будет просто так разобраться. что бы самому запускать готовых ботов нужно уметь обращаться с линукс серверами, ну или на винду на крайняк ставить. ботов могут писать на разных ЯП, в основном это python и node js, для python самые популярные библиотеки - aiogram и telebot, на node js не знаю, т.к не работал никогда с ним. возьмем в пример тг бота который написан на питоне с помощью либы aiogram, тебе на сервер нужно устанвоить python версии не меньше 3.8, и еще надо знать на какой версии aiogram написан сам бот, есть две версии - 2 и 3, и соответсвенно нужно установить соответствующую. если в папке со скриптом есть файл requirements.txt, и ты установил python на сервак, то в cmd или терминале (зависит от ОС сервака) открываешь директорию с ботом, далее пишешь: pip(3) install -r requirements.txt, пойдет установка модулей для работы бота, это как раз скорее всего будет билиотека на которой написан бот(aiogram или telebot) и дополнительные, зависит от того, какой функционал есть у бота, мб это парсер, тогда, вероятно, будет еще загрузка модулей по топу requests, aiohttp, bs4, у ботов почти у всех есть база данных, если бот совсем уже легкий то вероятно будет база данных sqlite3, но просто голую либу sqlite3 использовать крайне не рекомендуется т.к возможно будешь ловить ошибку database locked, что бы минимизировать риск такой ошибки использовать нужно как минимум хотя бы библиотеку aiosqlite, но лучше перейти на postgresql, с помощью библиотеки asyncpg. что бы знать как ставить ботом на сервере нужно чуть чуть понимать в языке программирования, на котором написан бот. ну или основуню логику того, как запускается сам бот: установка нужноых компонентов, по типу самого питона(он на unix подобных серверах уже зачастую есть), установка модулей для работы бота и соответсвенно сам запуск бота. что касаемо уязвимостей, тут уже зависит от того, на сколько компетенный человек писал бота, дыры в ботах найти крайне сложно, тут уже если сам кодер накосячит в логике работы бота то возможно будут какие то узявимости. ни разу не видел и не слышал даже об sql инъекциях в тг ботах, уверен прицеденты были но не слышал никогда, если кстати есть у кого такой опыт было бы интересно почитать. что касаемо проверки на шеллы в ботах, можно конечно просто просмотреть сам код, и там уже понять есть ли какие то запросы на сторону, но такое тоже крайне редко встречается как по мне. обычному человеку без знаний в программировании будет довольно сложно найти шелл в коде тг бота, особенно если проект не маленький.

 

[Inkognitto001]

это довольно сложно будет просто так разобраться. что бы самому запускать готовых ботов нужно уметь обращаться с линукс серверами, ну или на винду на крайняк ставить. ботов могут писать на разных ЯП, в основном это python и node js, для python самые популярные библиотеки - aiogram и telebot, на node js не знаю, т.к не работал никогда с ним. возьмем в пример тг бота который написан на питоне с помощью либы aiogram, тебе на сервер нужно устанвоить python версии не меньше 3.8, и еще надо знать на какой версии aiogram написан сам бот, есть две версии - 2 и 3, и соответсвенно нужно установить соответствующую. если в папке со скриптом есть файл requirements.txt, и ты установил python на сервак, то в cmd или терминале (зависит от ОС сервака) открываешь директорию с ботом, далее пишешь: pip(3) install -r requirements.txt, пойдет установка модулей для работы бота, это как раз скорее всего будет билиотека на которой написан бот(aiogram или telebot) и дополнительные, зависит от того, какой функционал есть у бота, мб это парсер, тогда, вероятно, будет еще загрузка модулей по топу requests, aiohttp, bs4, у ботов почти у всех есть база данных, если бот совсем уже легкий то вероятно будет база данных sqlite3, но просто голую либу sqlite3 использовать крайне не рекомендуется т.к возможно будешь ловить ошибку database locked, что бы минимизировать риск такой ошибки использовать нужно как минимум хотя бы библиотеку aiosqlite, но лучше перейти на postgresql, с помощью библиотеки asyncpg. что бы знать как ставить ботом на сервере нужно чуть чуть понимать в языке программирования, на котором написан бот. ну или основуню логику того, как запускается сам бот: установка нужноых компонентов, по типу самого питона(он на unix подобных серверах уже зачастую есть), установка модулей для работы бота и соответсвенно сам запуск бота. что касаемо уязвимостей, тут уже зависит от того, на сколько компетенный человек писал бота, дыры в ботах найти крайне сложно, тут уже если сам кодер накосячит в логике работы бота то возможно будут какие то узявимости. ни разу не видел и не слышал даже об sql инъекциях в тг ботах, уверен прицеденты были но не слышал никогда, если кстати есть у кого такой опыт было бы интересно почитать. что касаемо проверки на шеллы в ботах, можно конечно просто просмотреть сам код, и там уже понять есть ли какие то запросы на сторону, но такое тоже крайне редко встречается как по мне. обычному человеку без знаний в программировании будет довольно сложно найти шелл в коде тг бота, особенно если проект не маленький.

Благодарно за столь развернутый ответ.

На этом все мои вопросы из этой ветки неактуальны. Я понял что точно не смогу с этим разобраться. Либо полностью переквалифицироваться в кодера и посвятить этому очень много времени, что точно не для меня.
По поводу sql или как он это делает я не знаю. Я просто кидаю ему ссылку на бота в тг, и он отписывается мне смог ли он получить доступ к боту или нет. Если да, то что с этим модем сделать.

 

[RedCap]

на самом деле разобраться именно в запуске телеграм ботов не так уж и сложно. у меня почти все клиенты которые заказывают разработку уже за все время работы со мной сами научились пользоваться линуксом с помощью подсказок моих на начинающем уровен, но этого вполне хватает что бы запускать телеграм ботов, перезагружать их, делать бэкапы быза данных если требуется и т.д

 

[celty]

В основном ботов пишут школьники на питоне в которых много багов, пример на создавать 100 сообщений на вывод валюты, и потом каждый подтверждать по кэлбеку(не каждый продумывает все проверки и начинается вывод и баланс уходит в минус, но и вам выводится если автовывод написан), то ваш баланс к примеру выведется 100x раз, или пихать туда sql иньекций, ну или многие прилепливают платежки битка, был случай был бот по инсталам ну я че, делал платежи в битке отменял транзу, а бот засчитывал балик, так и сидел с наглой рожой покупал US инсталы по 1к баксов))), в общем придумать можно многое куча людей чего не дорабатывают/продумывают в ботах/апи. Просто нужно как ебантяй тыкать в каждую функцию и каждый раз пихать разные параметры, рано или поздно можно найти/натыкать что-то.

 

[celty]

К примеру сейчас есть у меня один скрипт бота. И он соотвественно стоит на одном username. Я хочу размножить его на несколько usernames.

Тебе в таком случаее лучше писать на вебхуках чтоб не грузить сервер и не пулять по кд телеграм, при 100 ботах у тебя сервер ебанется с пулингом, по этому смотри вебхуки, а чтоб было меньше уязвимостей юзай orm`ки чем лепить самому sql запросы и проебаться где то с sql иньекций

 

[Лохотронщик]

Как взломать телеграм бота если не знаешь его ip и никак не узнаешь?

 

[celty]

Как взломать телеграм бота если не знаешь его ip и никак не узнаешь?

Способов куча, если бот взаимодействует с командной строкой и ты можешь как то внедрить свою команду, ты можешь как минимум использовать curl, если он там есть то можно отравить запрос к себе на ендпоинт чтоб узнать ип

 

[petrinh1988]

это довольно сложно будет просто так разобраться. что бы самому запускать готовых ботов нужно уметь обращаться с линукс серверами, ну или на винду на крайняк ставить. ботов могут писать на разных ЯП, в основном это python и node js, для python самые популярные библиотеки - aiogram и telebot, на node js не знаю, т.к не работал никогда с ним. возьмем в пример тг бота который написан на питоне с помощью либы aiogram, тебе на сервер нужно устанвоить python версии не меньше 3.8, и еще надо знать на какой версии aiogram написан сам бот, есть две версии - 2 и 3, и соответсвенно нужно установить соответствующую. если в папке со скриптом есть файл requirements.txt, и ты установил python на сервак, то в cmd или терминале (зависит от ОС сервака) открываешь директорию с ботом, далее пишешь: pip(3) install -r requirements.txt, пойдет установка модулей для работы бота, это как раз скорее всего будет билиотека на которой написан бот(aiogram или telebot) и дополнительные, зависит от того, какой функционал есть у бота, мб это парсер, тогда, вероятно, будет еще загрузка модулей по топу requests, aiohttp, bs4, у ботов почти у всех есть база данных, если бот совсем уже легкий то вероятно будет база данных sqlite3, но просто голую либу sqlite3 использовать крайне не рекомендуется т.к возможно будешь ловить ошибку database locked, что бы минимизировать риск такой ошибки использовать нужно как минимум хотя бы библиотеку aiosqlite, но лучше перейти на postgresql, с помощью библиотеки asyncpg. что бы знать как ставить ботом на сервере нужно чуть чуть понимать в языке программирования, на котором написан бот. ну или основуню логику того, как запускается сам бот: установка нужноых компонентов, по типу самого питона(он на unix подобных серверах уже зачастую есть), установка модулей для работы бота и соответсвенно сам запуск бота. что касаемо уязвимостей, тут уже зависит от того, на сколько компетенный человек писал бота, дыры в ботах найти крайне сложно, тут уже если сам кодер накосячит в логике работы бота то возможно будут какие то узявимости. ни разу не видел и не слышал даже об sql инъекциях в тг ботах, уверен прицеденты были но не слышал никогда, если кстати есть у кого такой опыт было бы интересно почитать. что касаемо проверки на шеллы в ботах, можно конечно просто просмотреть сам код, и там уже понять есть ли какие то запросы на сторону, но такое тоже крайне редко встречается как по мне. обычному человеку без знаний в программировании будет довольно сложно найти шелл в коде тг бота, особенно если проект не маленький.

А если на обычном хостинег прикручен обычный домен, а бот из себя представляет PHP-скрипт и сидит как вебхук?

Способов куча, если бот взаимодействует с командной строкой и ты можешь как то внедрить свою команду, ты можешь как минимум использовать curl, если он там есть то можно отравить запрос к себе на ендпоинт чтоб узнать ип

А ведь на самом деле... Забавно, когда почти не касался ИБ, вообще не задумывался. Там ведь по сути обработчик текстовых команд

 

[dabdab]

В целом там такие же уязвимости как в дефолтном вебе: логика, sql и тд и тп. Разберешься с вебом и основами тг ботов и почти сразу станет всё понятно

 

[Dobrobro]

Кодер о котором говорил тс, напиши мне в лс плиз. Ты присылал мне скрин этого сообщения в лс в тг.
Очень надеюсь, что ты увидишь это сообщение и поймешь кто пишет.

/////
P.S мы сами выбираем как воспринимать и относиться к миру.
/////

 

[dunkel]

Каждый случай уникален. Ботов тг обычно пишут на питоне с использование популярных библиотек, там все безопасно. Я один раз только бота для отрисовки фейк чеков оплаты взломал через lfi в генераторе mpdf (там был генератор пдф чека от тинькофф банка)

 

[fil]

Возможно кому-то будет интересно, вот статья на хабре по данной теме.
/articles/796081/

 

[Dobrobro]

Кодер о котором говорил тс, напиши мне в лс плиз. Ты присылал мне скрин этого сообщения в лс в тг.
Очень надеюсь, что ты увидишь это сообщение и поймешь кто пишет.

/////
P.S мы сами выбираем как воспринимать и относиться к миру.
/////

братец, ну обрати внимания на это сообщение. /////