- Katılım
- 2 Ocak 2026
- Mesajlar
- 4
- Tepkime puanı
- 8
- Puan
- 3
>_ CTF 101: SYSTEM ACCESS PROTOCOL
"Knowledge is power. Data is the weapon."
1. // GİRİŞ VE MANTIK
Capture The Flag (CTF), bir hacker'ın yeteneklerini test ettiği dijital bir savaş simülasyonudur. Amaç, sistemdeki zafiyetleri sömürerek yetkili erişim sağlamak ve kanıt olarak "Flag" (Bayrak) verisini ele geçirmektir.
Format:
Kod:
flag{s1st3m_h4ckl3nd1}Bu doküman, sisteme sızarken karşılaşacağınız temel kategorileri ve teknik vektörleri açıklar.
2. // KATEGORİLER VE VEKTÖRLER
> WEB EXPLOITATION
İnternet dünyasının en yaygın saldırı yüzeyidir. Hedef; sunucu, veritabanı veya kullanıcı tarayıcısıdır.
- Hedefler: SQL Injection, Remote Code Execution (RCE), XSS, LFI/RFI.
- Araçlar: Burp Suite, OWASP ZAP, Dirbuster, Nikto.
- Kritik Hamle: Her zaman
dosyasını ve sayfa kaynağını kontrol et.Kod:
robots.txt
> CRYPTOGRAPHY (KRİPTOGRAFİ)
Veriyi şifreleme ve şifreyi kırma sanatıdır. Matematiksel algoritmalar ve mantık hataları üzerine kuruludur.
- Hedefler: Base64, Caesar Cipher, RSA, Vigenere, Hash Cracking.
- Araçlar: CyberChef, John The Ripper, Hashcat.
- Tanımlama: Eğer metin
ile bitiyorsa, yüksek ihtimalle Base64'tür.Kod:
==
> FORENSICS (ADLİ BİLİŞİM)
Dijital kalıntı analizi. Dosya başlıkları, gizli veriler ve ağ trafiği analizi bu alana girer.
- Hedefler: Steganography (Resim içine gizleme), Metadata analizi, PCAP (Wireshark) analizi.
- Araçlar: Wireshark, ExifTool, Binwalk, Strings.
- Analiz: Dosya uzantısına güvenme, her zaman header kontrolü yap.
> REVERSE ENGINEERING (TERSİNE MÜHENDİSLİK)
Derlenmiş bir yazılımı (Binary) kaynak koduna döndürme veya çalışma mantığını anlama sürecidir.
- Hedefler: Lisans kırma (Cracking), Malware analizi, Algoritma çözme.
- Araçlar: Ghidra, IDA Pro, x64dbg.
- Gereksinim: Assembly dili ve bellek yönetimi (Stack/Heap) bilgisi.
> PWN (BINARY EXPLOITATION)
Sistem hafızasındaki (Memory) hataları kullanarak sunucunun kontrolünü ele geçirme işlemidir.
- Hedefler: Buffer Overflow, Format String, ROP Chain.
- Araçlar: GDB (PwnDbg), Python (pwntools).
- Sonuç: Genellikle bir "Shell" bağlantısı ve
yetkisi.Kod:
root
3. // DIGITAL ARSENAL (GEREKLİ ARAÇLAR)
Saha görevinde yanınızda bulunması gereken standart donanımlar. Bu araçlar olmadan savaşa girilmez.
> WEB SECURITY ARAÇLARI
- Burp Suite: HTTP isteklerini yakalamak, düzenlemek ve manipüle etmek için 1 numaralı Proxy aracı.
- Gobuster / Dirsearch: Web sunucularındaki gizli dizinleri ve dosyaları bulmak için (Directory Brute-force).
- SQLMap: Veritabanı açıklarını tespit etmek ve sömürmek (dump) için otomasyon aracı.
- Wappalyzer: Hedef sitenin hangi teknolojileri kullandığını gösteren tarayıcı eklentisi.
> FORENSICS & STEGANOGRAPHY
- Wireshark: Ağ trafiğini (Packet) en ince ayrıntısına kadar analiz eder.
- ExifTool: Dosyaların metadata (konum, cihaz bilgisi, tarih) verilerini okur.
- Binwalk: Dosyaların içine gizlenmiş diğer dosyaları veya firmware yapılarını analiz eder/çıkartır.
- Stegsolve: Resimlerin renk kanallarını (RGB) inceleyerek gizli yazıları ortaya çıkarır.
> CRYPTOGRAPHY & DECODING
- CyberChef: "The Cyber Swiss Army Knife." Her türlü şifreleme ve kodlama işlemi için tarayıcı tabanlı devasa araç.
- John The Ripper / Hashcat: Şifrelenmiş parolaları (Hash) kırmak için CPU/GPU gücünü kullanır.
> REVERSE ENGINEERING & PWN
- Ghidra: NSA tarafından geliştirilen, tersine mühendislik (Decompiler) aracı.
- GDB (PwnDbg eklentisi ile): Linux binary dosyalarını debug etmek ve exploit geliştirmek için kullanılır.
- Radare2: Terminal tabanlı güçlü bir analiz framework'ü.
> İŞLETİM SİSTEMİ (OS)
- Kali Linux / Parrot OS: İçinde yukarıdaki araçların %90'ının kurulu geldiği, saldırı odaklı dağıtımlar.
