Neler yeni
Kullanıcı:
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

Sıfırdan Zirveye Web Hacking

  • Konuyu Başlatan Konuyu Başlatan 4N0B1S
  • Başlangıç tarihi Başlangıç tarihi
4N0B1S

4N0B1S

Moderator
Gözlemci
Katılım
2 Ocak 2026
Mesajlar
4
Tepkime puanı
10
Puan
3
Görünmeyeni Görmek: Buzdağının Altı

giphy.gif

Selamlar siber dünyanın gezginleri, hocalarım ve müstakbel ethical hacker'lar! "Sıfırdan Zirveye Web Hacking" serimizin ilk haftasına hoş geldiniz.

Bugün, tarayıcınızın adres çubuğuna yazdığınız URL'in ötesine geçeceğiz. Bir web sitesine girdiğinizde gördüğünüz o şık arayüz, logolar ve menüler... Bunlar sadece Buzdağının Görünen Yüzüdür. Bir hacker olarak bizi ilgilendiren kısım ise suyun altı; karanlıkta kalan, adminlerin unuttuğu, yedeklerin saklandığı o devasa kısımdır.

Standart kullanıcı "Login" butonunu görür, biz ise geliştiricinin sunucuda unuttuğu backup.sql dosyasını ararız. İşte bu noktada devreye RECON (Keşif) giriyor. Hedef hakkında ne kadar çok bilgi toplarsan, sızma ihtimalin o kadar artar.

Pasif Keşif: Hedefin Parmak İzi

Saldırıya geçmeden önce hedefi tanımanız şart. Karşınızda PHP ile yazılmış bir site mi var, yoksa Python/Django mu? Bunu bilmeden exploit aramak, karanlıkta iğne aramaya benzer.

Burada en sadık dostunuz Wappalyzer tarayıcı eklentisidir. Hedef siteye girdiğinizde size kullanılan teknolojileri, sunucu tipini ve versiyonları şakır şakır döker. Teknolojiyi bilmek, savaşın yarısını kazanmaktır.

Dijital Kapı Zorlayıcı: Gobuster

giphy.gif

Hedefin teknolojisini öğrendik. Şimdi sıra geldi "Aktif Keşif" aşamasına. Yani sunucuyla doğrudan iletişime geçip, bize verilmeyen sayfaları bulmaya.

Buradaki konseptimiz: Directory Brute-Forcing (Dizin Kaba Kuvvet Saldırısı).Mantık basit: Elimizde binlerce kelimeden oluşan bir liste var (Wordlist). Aracımız bu kelimeleri tek tek URL'in sonuna ekliyor ve sunucuya soruyor:

  • site.com/admin var mı? (404 - Yok)
  • site.com/login var mı? (200 - Var!)
  • site.com/config.php var mı? (403 - Yasaklı ama var!)
Bu iş için piyasadaki en hızlı, en "delikanlı" araçlardan birini kullanacağız: GOBUSTER.

Mühimmatımız: Wordlistler

Gobuster bir silahtır, ama mermi olmadan ateş edemez. Mermilerimiz Wordlistlerdir. Kali Linux veya Parrot kullanıyorsanız, /usr/share/wordlists altında hazine yatar. En meşhuru common.txt dosyamızdır.

Komut Satırı ve Aksiyon

Hadi terminali açalım ve elleri kirletelim. Öncelikle aracımız yüklü değilse cephaneliğe ekleyelim:

Kod: 
sudo apt update && sudo apt install gobuster

Şimdi, gerçek bir tarama başlatalım. Aşağıdaki komut, bir web sunucusundaki gizli dizinleri ve kritik dosyaları bulmak için standart bir taramadır:

Kod: 
gobuster dir -u http://hedef-site.com -w /usr/share/wordlists/dirb/common.txt -x php,txt,bak -t 50

Bayrakların (Flags) Anlamı

Bu komutta ne yaptık? Ezbere gitmiyoruz, analiz ediyoruz:

  • dir: Directory (Dizin) modunu kullanacağımızı belirttik.
  • -u: (URL) Hedef sitemizin adresi.
  • -w: (Wordlist) Kullanacağımız kelime listesinin yolu.
  • -x: (Extensions) BURASI ÇOK ÖNEMLİ! Gobuster'a sadece dizinleri değil; sonu .php, .txt veya .bak ile biten dosyaları da aramasını söyledik. Geliştiricilerin unuttuğu config.php.bak dosyaları genelde buradan çıkar!
  • -t: (Threads) Hızımız. Aynı anda 50 istek gönder dedik. Çok yükseltirseniz sunucu sizi engelleyebilir (WAF), dikkatli olun.
UYARI: Bu teknikleri sadece kendi laboratuvar ortamınızda, TryHackMe/HackTheBox gibi platformlarda veya yazılı izniniz olan sistemlerde kullanın. İzin almadan yapılan taramalar suç teşkil eder ve loglarda iz bırakır. Etik hacker, kurallara uyandır.
Genişletmek için tıkla ...

Görev: İlk Keşif

giphy.gif

Sıra sizde Hocalarım! Teoriyi pratiğe dökmeden öğrenemezsiniz. Bu haftanın görevi:

  1. TryHackMe veya VulnHub'dan başlangıç seviyesi bir makine seçin (Örn: Basic Pentesting).
  2. Makineyi başlatın ve IP adresini alın.
  3. Gobuster kullanarak web sunucusunda gizli bir dizin (örneğin /secret, /hidden, /development) bulun.
  4. Bulduğunuz ilginç dizinlerin ekran görüntüsünü veya çıktılarını bu başlık altında paylaşın!
Sorusu olan, hata alan varsa yorumlarda paslaşalım. Bilgi paylaştıkça çoğalır.

İyi avlar!
 
emeğine sağlık...,kendi sanal laboratuvarımda ip üzerinden denemek istedim ama başarısız oldum :D nerede hata yaptım üzerinde durmadım
 
Wo͝oLF' Alıntı:
emeğine sağlık...,kendi sanal laboratuvarımda ip üzerinden denemek istedim ama başarısız oldum :D nerede hata yaptım üzerinde durmadım
Genişletmek için tıkla ...
Sağolun ilk öncelikle sanal makinenizde bir web sitesi varmı acaba vulhubtan bir makine indirip docker ile ayağa kaldırıp tekrar denermisiniz yada docker konusunda bilginiz az ise HTB hackviser gibi patformlardaki hazır makineleri kullanmanız daha yaralı olacaktır vulhub linki: https://vulhub.org/ kaynaklardan araştırarak çok rahat bir şekilde ilerleyebilirsiniz sitede bir çok zafiyeti simüle eden makinelerde mevcut umarım yardımcı olabilmişimdir bir sorun olursa tekrar sorabilirsiniz iyi avlanmalar
 
4N0B1S' Alıntı:
Sağolun ilk öncelikle sanal makinenizde bir web sitesi varmı acaba vulhubtan bir makine indirip docker ile ayağa kaldırıp tekrar denermisiniz yada docker konusunda bilginiz az ise HTB hackviser gibi patformlardaki hazır makineleri kullanmanız daha yaralı olacaktır vulhub linki: https://vulhub.org/ kaynaklardan araştırarak çok rahat bir şekilde ilerleyebilirsiniz sitede bir çok zafiyeti simüle eden makinelerde mevcut umarım yardımcı olabilmişimdir bir sorun olursa tekrar sorabilirsiniz iyi avlanmalar
Genişletmek için tıkla ...
tamamdır hocam teşekkürler
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst