Esta entrada es para aquellos que están empezando a trabajar con bots para telegram y que estén teniendo problemas para que su bot reciba los mensajes después de configurar los parámetros de webhook.
La información se encuentra disponible en la documentación de Telegram, sin embargo, entre tanto paso uno se pierde, porque vi más de una pregunta sobre lo mismo: configurar webhook con certificado local, probar procesar mensajes y que no pase nada. El resumen del problema es que el certificado está mal publicado y no nos enteramos :P
Acá un resumen de lo que se debe hacer y cómo dejar el bot funcionando :)
1) Eliminar la asociación anterior del webhook para configurar de nuevo
curl -F "url=" https://api.telegram.org/bot[TOKEN_ID]/setWebhook
Donde "[TOKEN_ID]" obviamente corresponde al token asociado a al bot que se está configurando.
2) Crear el certificado digital con formato PEM para el servidor que se está utilizando y utilizar ese archivo para la navegación https.
En mi caso lo dejé a 3 años ya que es seguro que un año pasa volando, pero eso depende del gusto de cada uno.
openssl req -newkey rsa:2048 -sha256 -nodes -keyout server.key -x509 -days 1095 -out server.pem -subj "/CN=tu.dominio.cl/C=CL/ST=Santiago/L=Santiago"
Acá lo importante es el campo CN dado que debe coincidir con el nombre del servidor para el cual se está creando el certificado. Si ese parámetro está incorrecto, no se validará la navegación entre servidores y el bot no recibirá nada (punto a validar).
3) Asociar el certificado al bot.
curl -F "url=https://tu.dominio.cl/ruta/bot.php" -F "certificate=@/ruta_local/del/archivo/server.pem" https://api.telegram.org/bot[TOKEN_ID]/setWebhook
url = la ruta pública al código del bot.
certificate = ruta del archivo server.pem en el servidor (ruta local).
Si la ruta local del archivo .pem está incorrecta, y a pesar de que el registro del webhook diga que fue exitoso, no se validará la navegación entre servidores y el bot por lo que tampoco se recibirán los mensajes.
4) Revisar el estado del bot en Telegram para confirmar que el certificado está correctamente publicado y funcionando.
https://api.telegram.org/bot[TOKEN_ID]/getwebhookinfo
Si todo va bien, ahí aparecerá que se está utilizando un certificado de forma correcta.
has_custom_certificate: true
En caso de ir algo mal con el certificado, aparecerá un mensaje en ese parámetro. De ser así revisar los puntos marcados con rojo en los pasos anteriores y que coincidan con los valores reales de nombre, token y servidor.
Ahí lo tienen, luego de corregir el detalle del certificado y la ruta, quedará funcionando sin problemas :)
Algo a comentar es que si estuvieron haciendo pruebas enviando mensajes durante un rato y luego de que la configuración queda correcta, empezarán a recibir respuesta por todos esos mensajes de prueba que enviaron ya que quedan en cola en el servidor de Telegram por 24hrs :P.
NOTA:
Asociado al punto 3, aparte de asociar el certificado al bot, debe utilizarse ese certificado en la navegación https del servidor. Para activar la navegación https, si se está usando
apache lo práctico es usar la ruta oficial, en ese caso sería dejar los
archivos server.key y server.pem en /etc/apache2/ssl, además de cargar
esa ruta en el archivo de configuración
/etc/apache2/sites-available/default-ssl.conf con los siguientes
parámetros:SSLCertificateFile /etc/apache2/ssl/server.pem
SSLCertificateKeyFile /etc/apache2/ssl/server.key
Referencias:
https://core.telegram.org/bots/webhooks#a-self-signed-certificate
http://snakelab.cc/2016/10/28/telegram_gem_and_self_signed_cert.html
domingo, 23 de diciembre de 2018
jueves, 4 de enero de 2018
Acceder a cuenta de usuario en Windows sin tener la contraseña
Tal como dice el título de esta entrada, es posible acceder a una cuenta de usuario en Windows sin tener la contraseña, pero no mágicamente :P, para esto el usuario debe haber abierto sesión en el computador. Da lo mismo si el usuario bloqueó el computador, de todas formas es posible acceder a su sesión tal como la dejó, con aplicaciones abiertas y todo. Este acceso es posible haciendo uso de la elevación de privilegios de sistema desde una cuenta administrativa.
Según Microsoft (MS) esto no es una "falla de seguridad" ya que es necesario tener permisos de administrador para poder acceder a la cuenta del usuario, sin embargo, esto sí es un "riesgo de seguridad" si lo vemos desde el enfoque de separación de perfiles. Por ejemplo: un usuario X puede tener acceso a un sistema de remuneraciones al cual un administrador de sistemas no necesariamente debe tener acceso, pero podría acceder en algún momento en que el usuario X deje su computador libre o lo bloquee para ir a hacer alguna otra tarea.
Dicho lo anterior, la forma de acceder es usando el programa psexec (parte del kit "pstools" de MS) para ejecutar el administrador de tareas con permisos de sistema y desde ahí simplemente dar clic derecho sobre el usuario X en la pestaña "usuarios" y presionar "Conectar"... Tan sencillo como suena :/
Acá el detalle:
- Ingresar a Windows con la cuenta administrativa sin cerrar ninguna otra cuenta abierta, sólo presionar "Iniciar sesión con otro usuario" o "cambiar de usuario".
- Abrir el administrador de tareas para ver el ID del usuario propio (el ID de la cuenta administrativa).
--> En el caso de Windows 10 el ID no aparece por defecto, hay que dar clic derecho en los títulos y activar la columna "ID" para que se muestre. En Windows 7 el ID aparece por defecto.
- Abrir consola como administrador y ejecutar el comando: psexec \\localhost -s -i 2 taskmgr
--> Donde el número "2" corresponde al ID del usuario administrativo y no al del usuario al que se le secuestrará la cuenta. Ahí se debe poner el ID que corresponda, en este ejemplo es 2 (ver imagen de más abajo).
- Con el comando anterior se abrirá el administrador de tareas, pero con permisos de sistema, por lo que ahora se puede abrir la sesión del usuario X dando clic derecho sobre su nombre en la pestaña "Usuarios" y listo!
Tal como muestra la imagen esto es más largo de explicar que de hacer xD.
Al dar "Conectar" no aparecerá ninguna ventana pidiendo credenciales del usuario, simplemente se abrirá su escritorio tal como si hubieran desbloqueado el equipo.
Teniendo esto en mente, a revisar el log de windows (sección "Seguridad") con mayor frecuencia para ver si hay accesos "autorizados" en horarios incorrectos ;)
Referencias:
PSTools - https://docs.microsoft.com/en-us/sysinternals/downloads/pstools
Hack Windows User Account - https://thehackernews.com/2017/03/hack-windows-user-account.html
Suscribirse a:
Entradas (Atom)