хотелось бы продолжение
-
XSS.stack #1 – первый литературный журнал от юзеров форума
- Автор темы
- Добавить закладку
- #22
Дополню информацию по мини аппкам
Для того что бы подменить (по крайней мере попробовать) initData нужно открыть dev tool в тг приложении и посмотреть что передается на сервер. Веб версия не всегда даст открыть мини апп, так как может стоять ограничение по доступным платформам. С нативного приложения у меня открывалось ~70%, тогда как в веб версии около 50%.
В десктопной версии приложения (внезапно!) есть свой dev tool, и им мы будем пользоваться.
По умолчанию он недоступен, потому его нужно включить в экспериментальных функциях (как туда попасть - легко гуглится)
Дальше нужно найти уже сам dev tool и активировать (Скрин 2)
После всех манипуляций, при открытии мини апп (или веб апп, по разному называют но сути дела не меняет), нужно нажать правой кнопкой мыши и выбрать "исследовать". И у вас откроется встроенный dev tool (Скрин 3)
Ну а дальше, ищем request с авторизацией. Он будет выглядеть примерно так (Скрин 4)
Вот там и лежит initData, которую можно подставлять в запросы Burp'a и имитировать запросы от лица десктопной версии приложения. Примерно те же действия если проксировать соединение Burp'a через смартфон и отправлять те же модифицированные запросы.
Стоит отметить, что у некоторых приложений настроена проверка на валидность initData, потому этот способ может не сработать на всех подряд. По крайней мере моя статистика показывает, что 20% мини апок которые не открывались с веб версии, ответили на модифицированный запрос кодом 200, когда я подставил вытянутую initData.
Для того что бы подменить (по крайней мере попробовать) initData нужно открыть dev tool в тг приложении и посмотреть что передается на сервер. Веб версия не всегда даст открыть мини апп, так как может стоять ограничение по доступным платформам. С нативного приложения у меня открывалось ~70%, тогда как в веб версии около 50%.
В десктопной версии приложения (внезапно!) есть свой dev tool, и им мы будем пользоваться.
По умолчанию он недоступен, потому его нужно включить в экспериментальных функциях (как туда попасть - легко гуглится)
Дальше нужно найти уже сам dev tool и активировать (Скрин 2)
После всех манипуляций, при открытии мини апп (или веб апп, по разному называют но сути дела не меняет), нужно нажать правой кнопкой мыши и выбрать "исследовать". И у вас откроется встроенный dev tool (Скрин 3)
Ну а дальше, ищем request с авторизацией. Он будет выглядеть примерно так (Скрин 4)
Вот там и лежит initData, которую можно подставлять в запросы Burp'a и имитировать запросы от лица десктопной версии приложения. Примерно те же действия если проксировать соединение Burp'a через смартфон и отправлять те же модифицированные запросы.
Стоит отметить, что у некоторых приложений настроена проверка на валидность initData, потому этот способ может не сработать на всех подряд. По крайней мере моя статистика показывает, что 20% мини апок которые не открывались с веб версии, ответили на модифицированный запрос кодом 200, когда я подставил вытянутую initData.
а что даст подмена реквеста? это ведь get Запрос? не особо разбираюсь просто в бурп
Последнее редактирование:
Тип впал в паничку. К сожалению тот акк снесли, я вывел подарков на 7к (это прям по мин прайсам) $
есть вариант подробнее описать тот процесс? конкретнее взлом как проходил
sql? Xss? может что нибудь из известного использовать можно?
нука, поподробнее, откуда подарки выводились, из миниапа?
sql вряд ли, думаю только xss только если reflected думаю, но смысл? насчет других - не тестил
можно и sql вполне
просто мини аппы проблематично искать причина в этом
нашел щас бота очередную нфт рулетку. 140 юзеров в месяц. УЯЗВИМОСТЕЙ ТЬМА. первое - в запросе авторизации и получении информации(токен,лвл и тд) о юзере чтобы получить чужой токен достаточно лишь ввести чужой телеграмм юзерайди, попробовал ввести юзер поддержки он оказался 27, а не 1, но токен всеровно получил. второе - перед круткой дроп палится и его цена в боте и этот дроп можно обновлять просто перезаходя в бота. 3 - система получения подарка после крутки работает так - перед круткой скрипт бота получает id подарка который выпадет и если нажать "крутить" будет просто анимация, в то время как подарок сохранится и перед нами просто появится выбор продать/сохранить, я обновлял дроп до получения подарка в 2 раза дороже стоимости крутки и нажал бесконечно делать фейк запросы с получением этого подарка, и это сработало - тикеты(валюта бота) начала расти, щас попробую вывести эти тикеты и напишу подробнее, хотя думаю что никто мне вывести эти тикеты не даст.
расскажи какие инструменты ты используешь ? для этого
для того чтобы отследить запросы - dev tools в telegram web, чтобы быстренько писать запросы svb
ну как я и думал - обычный скам бот, цель которого заработать. система вывода в нем "в процессе" (уже месяц)
я считаю, что кто то должен, ну просто обязан создать миниапп и под хайдом разобрать всевозможные уязвимости =)
ну пока есть только уязвимые боты на гитхабе
мини аппов не встречал примеров
кинь пожалуйста, я изучу, может получится написать сканер
вайб коддингом заниматься буду, так как я деградировал до невозвратного состояния
GitHub - cyanpencil/vulnerable_telegram_bot: A telegram bot that speaks out loud the text you say to it. It is vulnerable to code injection, used in a challenge for BjornCTF 2020
A telegram bot that speaks out loud the text you say to it. It is vulnerable to code injection, used in a challenge for BjornCTF 2020 - cyanpencil/vulnerable_telegram_bot
github.com
но только для command injection этоGitHub - cyanpencil/vulnerable_telegram_bot: A telegram bot that speaks out loud the text you say to it. It is vulnerable to code injection, used in a challenge for BjornCTF 2020
A telegram bot that speaks out loud the text you say to it. It is vulnerable to code injection, used in a challenge for BjornCTF 2020 - cyanpencil/vulnerable_telegram_botgithub.com