Узнать IP телеграм бота

[Oppu]

Подскажите существует ли какой-нибудь способ узнать IP адрес VPS/VDS сервера на котором развернут телеграм бот?
В боте нет никаких ссылок которые в теории могли бы вести к IP адресу на котором развернут сервер с ботом (пример бота @perebot)

 

[CheckerChin]

узнать IP адрес VPS/VDS сервера на котором развернут телеграм бот?

Узнать кому? Рандомному пользователю нельзя. Тому, кто имеет доступ к серверу телеграма можно (особенно по запросу )

 

[hydrator]

Вот сегодня как раз мысль появилась как это сделать, в бурп суит взять ссылку на логер запросов ( или любой другой логер) ,и через xss уже телеграме инициировать запрос, если сервер к которому идет запрос не защищен от такого должно сработать в теории, но мне кажется ччушь несу)

 

[CheckerChin]

в бурп суит взять ссылку на логер запросов

а причем тут бурп?

xss уже телеграме инициировать запрос

xss в телеграме это что-то новое)

если сервер к которому идет запрос не защищен от такого должно сработать в теории

А ничего, что межсайтовый скриптинг это атака на пользователей, а не на сервер?)
Как вы представляете, чтобы бот перешёл по ссылке? Если в нём не предусмотрено такого функционала, то он никуда не перейдет.
То есть взять, допустим, эхо бота и как вы его ip получите? Никак. Для него эта ссылка просто текст.
Да и для того, чтобы xss реализовалась, её нужно как-то запускать. За пользователей это делает браузер, запуская js код на странице. А кто это сделает за бота??
Короче XSS тут вообще не в тему.

По теме тс'а еще дополню.
Если в боте есть функционал перехода по произвольным ссылкам (бот парсер допустим), то ip легко спалить, просто отправив подконтольный тебе хост боту.
Ну то есть это по ситуации нужно смотреть. Если брать в пример эхо бота, то ничего ты с ним не сделаешь.

 

[Capaldio]

Боту можно позвотить? Если да во время звонка можно через Wireshark пробить попробывать. С обычными контактами это работает, насчет бота не уверен

 

[Oppu]

Боту можно позвотить? Если да во время звонка можно через Wireshark пробить попробывать. С обычными контактами это работает, насчет бота не уверен

Невозможно звонить ботам

 

[Oppu]

Но у меня появился другой вопрос - есть бот чекер логов (хавает .zip архивы) есть ли вариант узнать IP vps/vds сервера на котором он стоит? Мб закинуть какой-то зараженный архив? Но на стиллеры он не реагирует я пробовал уже

 

[MaximkaZaza123]

Предлагаю развивать эту тему, мне тоже очень интересен поим уязвимостей ботов тг

 

[ti-bone]

Боту можно позвотить? Если да во время звонка можно через Wireshark пробить попробывать. С обычными контактами это работает, насчет бота не уверен

Боту невозможно позвонить.
Да и такое не сработает с обычными пользователями, если у них P2P отключён.

 

[ti-bone]

Вот сегодня как раз мысль появилась как это сделать, в бурп суит взять ссылку на логер запросов ( или любой другой логер) ,и через xss уже телеграме инициировать запрос, если сервер к которому идет запрос не защищен от такого должно сработать в теории, но мне кажется ччушь несу)

Вы получите только IP прокси-сервера Telegram, который генерирует предпросмотр для ссылок.
Вообще, необходимо узнать общую структуру того, как работает бот:
Сервер бота отправляет запрос либо через HTTP(на Telegram BotAPI), либо напрямую через MTProto(уже на основной сервер Telegram), BotAPI - HTTP оболочка над MTProto для ботов.
Обновления(сообщения итд.) получаются либо вебхуком, либо полингом.
Вебхук - доступен только на BotAPI, сервер бота отправляет запрос setWebhook на BotAPI, и BotAPI пишет данные в свою БД, и при получении какого-либо обновления - BotAPI отправляет через прокси-сервер GET\POST(смотря какой указали при вызове setWebhook) HTTP запрос на сервер бота(IP которого указали при setWebhook), в таком случае имея токен бота - можно получить IP севрера бота через метод getWebhook.
Если у Вас нету токена бота или бот использует полинг(getWebhook не возвращает информацию о том, что у бота есть вебхук) и BotAPI - тут уже навыки социальной инженерии применять и заставлять владельца бота перейти на Ваш BotAPI на Вашем сервере, где у Вас будет доступ и к токену бота, и к IP сервера бота.
Если бот использует MTProto/у Вас нет токена или социальная инженерия не сработала - выход только один, или подавать запрос в Telegram(который они с 99% вероятностью отклонят), или иметь доступ к серверам Telegram.

 

[ti-bone]

Но у меня появился другой вопрос - есть бот чекер логов (хавает .zip архивы) есть ли вариант узнать IP vps/vds сервера на котором он стоит? Мб закинуть какой-то зараженный архив? Но на стиллеры он не реагирует я пробовал уже

Можно закинуть данные от своего(можно и не своего, главное дабы доступ был) нового аккаунта, Gmail например, там вроде бы есть возможность просмотреть какие IP использовались, но не исключено(да и скорее всего там прокси, только дурак будет с реального IP сервера на котором бот что-то проверять) что бот использует прокси для проверки.