• XSS.stack #1 – первый литературный журнал от юзеров форума

Telegram mini-app

Отслеживать
Virtuozo

Virtuozo

HDD-drive
Пользователь
Регистрация
08.11.2024
Сообщения
39
Реакции
10
¡Hola amigo!

Вот столкнулся я с такой незатейливо-интересной для себя отраслью как мини апп тг. В целом - это тот же веб сервер с эндпоинтами, с которым скрипт общается посредством приема текстовых аргументов с бота тг(если криво изложил - сори, вникаю в это). Соответственно было бы хорошо и любознательно, получать доступы к серверам где лежат данные, которые получил бот за время существования.

Подобной темы я не нашел, потому предлагаю в этой разбирать таргеты, уязвимости и методы эксплуатации.
Если тема получит отклик - напишу вторую часть по тем данным, что удалось найти/реализовать
 
Virtuozo сказал(а):
¡Hola amigo!

Вот столкнулся я с такой незатейливо-интересной для себя отраслью как мини апп тг. В целом - это тот же веб сервер с эндпоинтами, с которым скрипт общается посредством приема текстовых аргументов с бота тг(если криво изложил - сори, вникаю в это). Соответственно было бы хорошо и любознательно, получать доступы к серверам где лежат данные, которые получил бот за время существования.

Подобной темы я не нашел, потому предлагаю в этой разбирать таргеты, уязвимости и методы эксплуатации.
Если тема получит отклик - напишу вторую часть по тем данным, что удалось найти/реализовать
https://web.telegram.org , затем F12 консоль и Network таб открываешь, затем открываешь мини-апп и смотришь откуда он (мини апп хостится на обычном вебсервере) , далее "задача сводится к типовой" (ломка вебки, если получится).
 
zdestuta сказал(а):
https://web.telegram.org , затем F12 консоль и Network таб открываешь, затем открываешь мини-апп и смотришь откуда он (мини апп хостится на обычном вебсервере) , далее "задача сводится к типовой" (ломка вебки, если получится).
Это достаточно легко получить. Другая задача сломать сервер
 
zdestuta сказал(а):
https://web.telegram.org , затем F12 консоль и Network таб открываешь, затем открываешь мини-апп и смотришь откуда он (мини апп хостится на обычном вебсервере) , далее "задача сводится к типовой" (ломка вебки, если получится).
Благодарю за подсказку, но я предпочитаю смотреть через wireshark. Дело привычки)
И к тому же не всегда аппка открывается через веб версию, иногда нужно проксировать burp через смартфон
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Уже писал в подобном топике, рассказывал как взломал бота казино с подарками, на самом деле о защите почему-то вообще не задумываются, по этому провернуть что-либо не трудно)
 
holynet сказал(а):
Уже писал в подобном топике, рассказывал как взломал бота казино с подарками, на самом деле о защите почему-то вообще не задумываются, по этому провернуть что-либо не трудно)
можешь пж кинуть тот топик, очень интересно
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Opa334 сказал(а):
можешь пж кинуть тот топик, очень интересно
/threads/119460/#post-983176
Там много сообщений, думаю будет интересно почитать.
 
holynet сказал(а):
Уже писал в подобном топике, рассказывал как взломал бота казино с подарками, на самом деле о защите почему-то вообще не задумываются, по этому провернуть что-либо не трудно)
интересна реакция владельца этого бота)
 
Virtuozo сказал(а):
¡Hola amigo!

Вот столкнулся я с такой незатейливо-интересной для себя отраслью как мини апп тг. В целом - это тот же веб сервер с эндпоинтами, с которым скрипт общается посредством приема текстовых аргументов с бота тг(если криво изложил - сори, вникаю в это). Соответственно было бы хорошо и любознательно, получать доступы к серверам где лежат данные, которые получил бот за время существования.

Подобной темы я не нашел, потому предлагаю в этой разбирать таргеты, уязвимости и методы эксплуатации.
Если тема получит отклик - напишу вторую часть по тем данным, что удалось найти/реализовать
Есть вообще у кого материал по этой теме?
 
ondatra227 сказал(а):
Есть вообще у кого материал по этой теме?
думаю большая часть материала лежит в разделе веба. Интересно было бы посмотреть на статьи, где рассказывается о реальных примерах, с ботами у которых был актив
 
есть
zdestuta сказал(а):
https://web.telegram.org , затем F12 консоль и Network таб открываешь, затем открываешь мини-апп и смотришь откуда он (мини апп хостится на обычном вебсервере) , далее "задача сводится к типовой" (ломка вебки, если получится).
а смысл?
можно просто посмотреть с какого сайта идет апп
осталось лишь придумать как обойти wrong platform
 
На правах Тс’а опишу с чем сталкиваюсь я в процессе получения информации.

И так собственно:
  1. Выбор цели
Тут все просто - банальный перебор апок с ресурса findmini[.]app там и статистику апки можно посмотреть. Я не беру цели по типу крипто бота и с активностью более 20к, это бессмысленно с моим уровнем знаний. Но как показывает практика апки с активом 5-10к тоже туго идут. Запуская приложение я смотрю пакеты через wireshark. Там заодно можно посмотреть эндпоинты куда обращается front.
  1. Все начинается с портов
Bash: 
nmap -sV <ip>

На примере таргета 51.254.10[.]211

Открытых портов - целых 11 (!); не за cloudflare - отличный таргет на мой взгляд, так как чем больше портов тем больше потенциальных точек входа.

В разрезе технологий:

1. 80, 443 — HTTP/S
2. 21 — FTP
3. 25, 465, 587 — SMTP (почта)
4. 110, 995 — POP3 (нешифр./SSL)
5. 143, 993 — IMAP (нешифр./SSL)
6. 53 — DNS

Практика

  1. К делу…
Начал с самого потенциального интересного - ftp
Bash: 
ftp 51.254.10.211
# Логин: anonymous
# Пароль: любой

Но метод anonymous отключен. Ладно, оставим пока, брутить - не вариант так как стоит защита которая при 5 неправильных парах лог/пас сервер закрывает порт на 10 минут.

Пробежался еще раз по портам более детально, и бинго - 2078/tcp - cPanel

В браузере открывается панель с формой лог/пас но в виде уже всплывающего окна.

Пробую базовые креды и удача root:12345 accepted

И…ничего)

Пробую смотреть через curl - ловлю тайм-аут. Пробую имитировать из терминала запрос от браузера



Bash: 
curl --socks5-hostname 127.0.0.1:9050 -k -u root:123456 \
-H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)" \
https://51.254.10.211:2078 -v

И получаю



Код: 
< Server: cPanel
< Content-length: 0
<
Connection #0 to host 127.0.0.1
left intact.

Это пустышка)

Дальше опишу уже со скринами и дополню свои поиски слабых мест…
P.S. Пост редактировал со смартфона, просьба не обращать внимание на кривость, благодарю.
 
PPoe сказал(а):
есть

а смысл?
можно просто посмотреть с какого сайта идет апп
осталось лишь придумать как обойти wrong platform
Обхожу проксированием burp’a через смартфон. Либо не всегда апки проверяют валидность initData и туда можно вставить свои, стянутые в режиме dev tool приложения тг (не веб версии а именно приложения)
 
так, в основе своей все апки сдаланы на js следовательно можно придумать парсер и искать уязвимые
Virtuozo сказал(а):
На правах Тс’а опишу с чем сталкиваюсь я в процессе получения информации.

И так собственно:
  1. Выбор цели
Тут все просто - банальный перебор апок с ресурса findmini[.]app там и статистику апки можно посмотреть. Я не беру цели по типу крипто бота и с активностью более 20к, это бессмысленно с моим уровнем знаний. Но как показывает практика апки с активом 5-10к тоже туго идут. Запуская приложение я смотрю пакеты через wireshark. Там заодно можно посмотреть эндпоинты куда обращается front.
  1. Все начинается с портов
Bash: 
nmap -sV <ip>

На примере таргета 51.254.10[.]211

Открытых портов - целых 11 (!); не за cloudflare - отличный таргет на мой взгляд, так как чем больше портов тем больше потенциальных точек входа.

В разрезе технологий:

1. 80, 443 — HTTP/S
2. 21 — FTP
3. 25, 465, 587 — SMTP (почта)
4. 110, 995 — POP3 (нешифр./SSL)
5. 143, 993 — IMAP (нешифр./SSL)
6. 53 — DNS

Практика

  1. К делу…
Начал с самого потенциального интересного - ftp
Bash: 
ftp 51.254.10.211
# Логин: anonymous
# Пароль: любой

Но метод anonymous отключен. Ладно, оставим пока, брутить - не вариант так как стоит защита которая при 5 неправильных парах лог/пас сервер закрывает порт на 10 минут.

Пробежался еще раз по портам более детально, и бинго - 2078/tcp - cPanel

В браузере открывается панель с формой лог/пас но в виде уже всплывающего окна.

Пробую базовые креды и удача root:12345 accepted

И…ничего)

Пробую смотреть через curl - ловлю тайм-аут. Пробую имитировать из терминала запрос от браузера



Bash: 
curl --socks5-hostname 127.0.0.1:9050 -k -u root:123456 \
-H "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)" \
https://51.254.10.211:2078 -v

И получаю



Код: 
< Server: cPanel
< Content-length: 0
<
Connection #0 to host 127.0.0.1
left intact.

Это пустышка)

Дальше опишу уже со скринами и дополню свои поиски слабых мест…
P.S. Пост редактировал со смартфона, просьба не обращать внимание на кривость, благодарю.

я думаю, надо искать дальше
 
PPoe сказал(а):
Посмотреть вложение 108469
сколько же тут мусора

PPoe сказал(а):
Посмотреть вложение 108469
сколько же тут мусора
чекнул пару таких ботов, хочу сказать что в основном они страницы написаны на php с использованием главного js скрипта. в одном из них webapp было 5 сабдоменов с разными играми и один вообще пустой страницей welcome to ngnix. Из интересного я нашел, что некоторые боты проверяют пользователя на админа, и нашел даже бот, где в настройках профиля есть окно с admin паролем, завтра попытаюсь это использовать как-то.
 
Opa334 сказал(а):
чекнул пару таких ботов, хочу сказать что в основном они страницы написаны на php с использованием главного js скрипта. в одном из них webapp было 5 сабдоменов с разными играми и один вообще пустой страницей welcome to ngnix. Из интересного я нашел, что некоторые боты проверяют пользователя на админа, и нашел даже бот, где в настройках профиля есть окно с admin паролем, завтра попытаюсь это использовать как-то.
тоже самое думаю брутить вообще не вариант
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх