文章总结： 本文披露一种获取Telegram用户真实IP的攻击手法。攻击者利用Telegram的一键MTProto代理功能，通过创建超链接将恶意代理地址伪装成用户名或验证信息诱导目标点击。用户点击后客户端无确认自动连接攻击者代理，致使真实IP泄露及流量被劫持。该方法验证可行且存在流量解密风险。 综合评分： 91 文章分类： 社会工程学,红队,网络安全,漏洞预警

获取目标Telegram的真实IP

原创

安全路人A

军机故阁

2026年1月12日 18:28 北京

来源x上GangExposed_RU和0x6rss用户分享的内容，通过目标用户的1次点击来获取到目标的真实IP地址，利用Telegram内置的便捷代理配置功能，构造一个特殊的t.me链接，当用户点击后，其Telegram客户端会静默连接至攻击者控制的代理服务器，从而导致真实IP地址泄露，甚至可以监听和解密网络流量。

验证了下确实完全可行且真实存在的，利用的是两个正常功能的组合产生的：

一是 聊天框中支持用户把链接变成超链接给聊天内容，用于任何链接添加到类似@xxxx这类聊天内容中，变成容易被误点击的用户名类型，方便1click类攻击。利用方法如下视频，在Telegram聊天框中，使用“创建链接”功能，将上述链接的显示文本设置为“@官方”或“请点击此处验证账户”等诱饵文字。

二是 Telegram官方支持的一键连接MTProto代理功能，有个特定格式为https://t.me/proxy?server=…&port=…&secret=.. ，在客户端内点击这个链接可以快速添加和使用对应的代理。

整理攻击流程为：攻击者建立代理服务器并持续抓包（github很多一键安装MTProxy项目），利用上述 “一” 中的技巧把构造好的添加代理的链接(https://t.me/proxy?server=…&port=…&secret=..)伪装成普通的用户名（如 @admin）或文本发送给目标，一旦点击，Telegram客户端会不经二次确认，立即应用该代理设置，也因此后续的所有通信流量（包括IP地址）经由该恶意代理中转，可以很方便在代理服务器端看到通信流量（包括真实IP，流量等）。

题外话，这两个组合可以很方便的获取到目标Telegram的真实IP，而且因为是代理类添加，可以进一步研究MTProto加密协议，可以尝试对流量进行分析和还原等。可以搜搜看论文，有挺多提到Telegram的协议和生态系统存在一定的脆弱性。万一哪一天可以解密流量的话，则可能可以获取用户传输的图片、文件甚至聊天内容。

题外话2，之前分享breachforum数据库的被举报了，补发一个去掉下载链接的，有需要的可以看篇：

BreachForums最新泄露数据库公开

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军机故阁 安全路人A《获取目标Telegram的真实IP》