- Katılım
- 2 Ocak 2026
- Mesajlar
- 4
- Tepkime puanı
- 10
- Puan
- 3
Görünmeyeni Görmek: Buzdağının Altı
Selamlar siber dünyanın gezginleri, hocalarım ve müstakbel ethical hacker'lar! "Sıfırdan Zirveye Web Hacking" serimizin ilk haftasına hoş geldiniz.
Bugün, tarayıcınızın adres çubuğuna yazdığınız URL'in ötesine geçeceğiz. Bir web sitesine girdiğinizde gördüğünüz o şık arayüz, logolar ve menüler... Bunlar sadece Buzdağının Görünen Yüzüdür. Bir hacker olarak bizi ilgilendiren kısım ise suyun altı; karanlıkta kalan, adminlerin unuttuğu, yedeklerin saklandığı o devasa kısımdır.
Standart kullanıcı "Login" butonunu görür, biz ise geliştiricinin sunucuda unuttuğu backup.sql dosyasını ararız. İşte bu noktada devreye RECON (Keşif) giriyor. Hedef hakkında ne kadar çok bilgi toplarsan, sızma ihtimalin o kadar artar.
Pasif Keşif: Hedefin Parmak İzi
Saldırıya geçmeden önce hedefi tanımanız şart. Karşınızda PHP ile yazılmış bir site mi var, yoksa Python/Django mu? Bunu bilmeden exploit aramak, karanlıkta iğne aramaya benzer.
Burada en sadık dostunuz Wappalyzer tarayıcı eklentisidir. Hedef siteye girdiğinizde size kullanılan teknolojileri, sunucu tipini ve versiyonları şakır şakır döker. Teknolojiyi bilmek, savaşın yarısını kazanmaktır.
Dijital Kapı Zorlayıcı: Gobuster
Hedefin teknolojisini öğrendik. Şimdi sıra geldi "Aktif Keşif" aşamasına. Yani sunucuyla doğrudan iletişime geçip, bize verilmeyen sayfaları bulmaya.
Buradaki konseptimiz: Directory Brute-Forcing (Dizin Kaba Kuvvet Saldırısı).Mantık basit: Elimizde binlerce kelimeden oluşan bir liste var (Wordlist). Aracımız bu kelimeleri tek tek URL'in sonuna ekliyor ve sunucuya soruyor:
- site.com/admin var mı? (404 - Yok)
- site.com/login var mı? (200 - Var!)
- site.com/config.php var mı? (403 - Yasaklı ama var!)
Mühimmatımız: Wordlistler
Gobuster bir silahtır, ama mermi olmadan ateş edemez. Mermilerimiz Wordlistlerdir. Kali Linux veya Parrot kullanıyorsanız, /usr/share/wordlists altında hazine yatar. En meşhuru common.txt dosyamızdır.
Komut Satırı ve Aksiyon
Hadi terminali açalım ve elleri kirletelim. Öncelikle aracımız yüklü değilse cephaneliğe ekleyelim:
Kod:
sudo apt update && sudo apt install gobusterŞimdi, gerçek bir tarama başlatalım. Aşağıdaki komut, bir web sunucusundaki gizli dizinleri ve kritik dosyaları bulmak için standart bir taramadır:
Kod:
gobuster dir -u http://hedef-site.com -w /usr/share/wordlists/dirb/common.txt -x php,txt,bak -t 50Bayrakların (Flags) Anlamı
Bu komutta ne yaptık? Ezbere gitmiyoruz, analiz ediyoruz:
- dir: Directory (Dizin) modunu kullanacağımızı belirttik.
- -u: (URL) Hedef sitemizin adresi.
- -w: (Wordlist) Kullanacağımız kelime listesinin yolu.
- -x: (Extensions) BURASI ÇOK ÖNEMLİ! Gobuster'a sadece dizinleri değil; sonu .php, .txt veya .bak ile biten dosyaları da aramasını söyledik. Geliştiricilerin unuttuğu config.php.bak dosyaları genelde buradan çıkar!
- -t: (Threads) Hızımız. Aynı anda 50 istek gönder dedik. Çok yükseltirseniz sunucu sizi engelleyebilir (WAF), dikkatli olun.
Görev: İlk Keşif
Sıra sizde Hocalarım! Teoriyi pratiğe dökmeden öğrenemezsiniz. Bu haftanın görevi:
- TryHackMe veya VulnHub'dan başlangıç seviyesi bir makine seçin (Örn: Basic Pentesting).
- Makineyi başlatın ve IP adresini alın.
- Gobuster kullanarak web sunucusunda gizli bir dizin (örneğin /secret, /hidden, /development) bulun.
- Bulduğunuz ilginç dizinlerin ekran görüntüsünü veya çıktılarını bu başlık altında paylaşın!
İyi avlar!
nerede hata yaptım üzerinde durmadım