AP
В бан нахуй
Size: a a a
2021 June 28
tf
Ура
CB
Ну да, но проверка фильтров таким способом то ещё извращение)
AP
tf
Каким способом?
tf
Генерация кучи неправильного инпута и скармливание валидатору для проверки?
AP
Там же ничего не выполняется. Операции только с текстом. Плюс бот может только удалять сообщения и банить.
CB
Нет, инпут должен быть какой-то однозначной командой, по типу пинга. Ну проверка на удачу наверное, при помощи каких-то дефолтных утилит, по сути это тупо брутфорс ведь про бек ничего неизвестно
tf
Инпут не может быть какой-то однозначной командой.
tf
Вот вы выставили себе имя и фамилию в профиле - это юзер инпут
tf
Написали в чат - тоже юзер инпут
tf
И то и другое проверяется телеграмом. Если пишешь свой бот, тоже должен понимать что из сообщения и имени к тебе протекает всё что угодно
CB
Почему? Пример приведу, связка LFI + RCE, LFI - например лог апача, или лог ссш. В качестве инпута креды для ссш, или какой-то гет запрос к апачу. Исполнение через обращение к логу, т.е. через LFI
CB
Да, так и есть