Kategoriler
Popüler KonularYaşam RehberiAstrolojiKariyer TavsiyeleriKişisel GelişimZenginler ve FakirlerSite TanıtımlarıKaranlık İnternet GerçekleriNe? Nedir? Nasıl?Kadim Gizli BilgilerMeditasyon ve OlumlamalarDualarSpiritüalizmSpiritüel Rüya TabirleriYurt Dışında EğitimYZ ile Para Kazanma RehberiBilgisayar ve Güvenlik
Bilgisayar ve Güvenlik

Hack the Box Çözerken Gerçek Sunuculara Bağlanmamaya Nasıl Dikkat Edilir?

IYIGOOGLE IYIGOOGLE
Yayınlama Tarihi: 18 Nisan 2025 | Güncelleme Tarihi: 29 Nisan 2025

Hack The Box (HTB), siber güvenlik eğitimi için dünyanın en prestijli platformlarından biridir. Gerçek dünya senaryolarını taklit eden makineleri hack’leyerek zafiyetleri bulur, sömürür, bayrakları (flags) toplarsın. Ancak HTB’de makine çözerken bir anlık dikkatsizlikle gerçek dünyadaki bir sunucuya istek atarsan, bu ciddi bir hata olur. Çünkü Hack The Box ortamı kontrollü ve izne dayalıdır; gerçek sunucular ise özel mülkiyettir. Şimdi, Hack The Box çözerken nasıl sadece eğitim ortamında kalabileceğini ve istemeden gerçek sistemlere dokunmamak için nelere dikkat etmen gerektiğini detaylıca açıklıyoruz.

Öncelikle: Hack The Box Ortamı Nasıl Çalışır?

HTB ortamı şunları içerir:

  • Özel VPN bağlantısı ile erişilen sanal laboratuvar ağı
  • Sanal makineler üzerinde oluşturulmuş hedef sistemler (Windows, Linux, IoT vb.)
  • VPN bağlantısı üzerinden verilen IP aralığı (10.10.x.x veya 10.129.x.x gibi)

Bu makinelerin hepsi izole bir ağ içindedir. Yani hedefin her zaman bu özel IP blokları içinde olmalıdır.

Gerçek Sunuculara Yanlışlıkla Bağlanmamak İçin 7 Altın Kural

1. Hedef IP’yi Dikkatlice Kontrol Et

Her çözdüğün makinenin IP adresi Hack The Box panelinde tanımlıdır. Başka bir taramaya başlamadan önce:

  • IP adresinin 10.10.x.x, 10.129.x.x veya benzeri özel HTB IP aralığında olduğundan emin ol
  • Public (genel) IP adreslerine (örneğin 34.56.78.90 gibi) asla istek atma

Eğer hedef IP özel VPN ağından değilse, taramayı anında durdur.

2. Nmap Taramalarında -Pn ve -T4 Gibi Komutları Kullanmadan Önce İyi Düşün

Nmap gibi araçlar geniş IP taraması yapabilir. Yanlışlıkla bir public IP’ye SYN paketi atarsan bu, yetkisiz erişim teşebbüsü olarak kaydedilebilir. Bu yüzden:

  • RHOSTS parametresinde sadece verilen hedef IP’yi yaz
  • IP aralığı yerine tek bir IP’yi net belirt
  • “-Pn” kullanıyorsan bile doğru hedef olduğundan emin ol

3. DNS İsteklerinde Yanlış Alan Adına Gitme

Bazı makineler kendi içinde sahte domain isimleri kullanabilir. Ama eğer yanlış konfigürasyonla gerçek bir DNS sorgusu yaparsan, gerçek dünyadaki bir şirkete istek gönderebilirsin.

  • DNS isteklerini sadece VPN ağı içindeki makinelerle sınırla
  • /etc/hosts dosyasına manuel domain yönlendirmesi ekleyerek dış DNS sorgularını engelle

4. Exploit Çalıştırmadan Önce IP'yi 3 Kez Kontrol Et

Bir exploit veya payload göndermeden önce hedef IP adresini tekrar kontrol et:

  • Exploit scriptlerinde hedef IP'yi gözden geçir
  • Yanlışlıkla hedefi değiştirmediğinden emin ol
  • Hedef IP'nin 10.10.x.x veya benzeri HTB aralığında olduğundan %100 emin ol

5. VPN Bağlantısının Aktif Olduğuna Emin Ol

HTB VPN bağlantısı koparsa, bilgisayarın doğrudan gerçek dünyaya bağlanabilir. Özellikle tarama araçları aktifken VPN koparsa kötü sonuçlar doğurabilir.

  • Tarama yapmadan önce ifconfig veya ip a ile VPN bağlantını doğrula
  • VPN koparsa hemen taramayı durdur
  • VPN’in kopması durumunda çalışan exploit, payload veya scanner’ı iptal et

6. Port Forwards ve Reverse Shell Bağlantılarında Dikkat Et

Reverse shell alırken veya port forwarding yaparken yanlış IP’yi hedeflersen, dış dünyadan bağlantı alabilirsin. Özellikle:

  • Localhost (127.0.0.1) veya VPN ağı IP’lerini kullan
  • Public IP'lerden reverse shell alma denemesi yapma
  • Listener başlatırken “0.0.0.0” dinlemeye değil, sadece VPN ağına dinlemeye çalış

7. Güvenliğe Ekstra Önlem: Firewall Kullan

Kali gibi sistemlerde ufw (Uncomplicated Firewall) veya iptables kullanarak sadece VPN ağı içinden gelen bağlantılara izin verebilirsin:

sudo ufw allow in on tun0
sudo ufw default deny incoming

Böylece hata yapsan bile dış ağdan paket almak riskini en aza indirirsin.

Gerçek Hayattan Vaka: Yanlış IP’ye Taranan Gerçek Sunucu

2021 yılında bir kullanıcı, Hack The Box üzerinde bir makine çözerken yanlışlıkla internet üzerindeki gerçek bir bulut sunucu IP’sine Nmap taraması yaptı. Sistem sahibi bu trafiği güvenlik ihlali olarak algıladı ve şikayette bulundu. Kullanıcı hakkında "yetkisiz erişim teşebbüsü" ile adli işlem başlatıldı. Eğitim amacı olduğunu ispatlaması aylar sürdü. Sonuç: Sabıka oluşmadı ama adli sicil sorgusunda “soruşturma geçirdi” notu çıktı.

Ve Bilinmesi Gereken Derin Gerçek

Hack The Box, bir oyun alanıdır. Gerçek dünya ise ciddi bir sahnedir. Oyun alanı içinde ne kadar özgür olsan da, sahneyi karıştırırsan, izinsiz bir oyuncu olursun. Teknik güç seni özgür kılmaz; teknik bilinç seni özgür kılar. Bir makineyi hack’lemek marifet değildir. Doğru hedefi hack’lemek marifettir. Ve her istek, her tarama, dijital evrende bir iz bırakır. O izi doğru yerde bırakmazsan, seni bulacakları yer, öğrenmek istediğin yerden çok uzak olur.