Teori Değil, Hackle.
Sınırları zorlamaya ve sistemleri dize getirmeye hazır mısın? Gerçek dünya senaryolarından ilham alınarak hazırlanmış, zorluk seviyesi gittikçe artan özel laboratuvarlarımızla saldırı reflekslerini keskinleştir.
Zafiyetleri keşfet, savunmaları yık ve flag'i yakala! Unutma; çözümde takılırsan lab dosyalarındaki README metinleri seni zafiyetin kalbine götürecek. Şimdi sıra sende, yeteneklerini kanıtlama vakti!
XSS Labları
Cross-Site Scripting saldırıları ve filtre atlatma simülasyonları.
IDOR Labları
Insecure Direct Object Reference ve yetki aşımı testleri.
DOM XSS Labları
İleri seviye DOM tabanlı XSS ve client-side atlatmalar.
Log Analizi Labları
Saldırı tespiti, tehdit avcılığı ve Blue Team defans taktikleri.
Network Forensics
Ağ trafiği analizi, pcap inceleme ve tshark/wireshark kullanımı pratikleri.
LFI Labları
Yerel dosya dahil etme zafiyetleri ve filtre atlatma teknikleri.
CSRF Labları
Cross-Site Request Forgery saldırıları ve bankacılık simülasyonu.
Cloud Güvenliği
AWS CloudTrail log analizi, sızma tespiti ve bulut güvenliği pratikleri.
SSTI Labları
Server-Side Template Injection zafiyetleri ve filtre atlatma simülasyonları.
Memory Forensics
Bellek imajı analizi, tehdit avcılığı ve Volatility 3 ile zararlı yazılım tespiti pratikleri.
XXE Labları
XML External Entity zafiyetleri, blind sızdırma ve WAF bypass teknikleri.
SSRF Labları
Server-Side Request Forgery zafiyetleri, filtre atlatma ve protocol wrappers kullanımı.
XSS Seviye 1: Reflected
Arama parametresi üzerinden en temel Javascript injection pratiği. WAF veya filtreleme yok.
XSS Seviye 2: Stored
Veritabanına kaydedilen kullanıcı inputlarındaki zafiyetlerin keşfi. Basit karakter filtreleri içerir.
XSS Seviye 3: DOM Based Bypass
Client-side JavaScript filtrelerini ve WAF benzeri engelleyicileri aşmayı gerektiren ileri seviye simülasyon.
IDOR Seviye 1: URL Manipulation
Web uygulamasında başkasına ait profil veya fatura bilgilerine URL'deki sayısal ID'yi değiştirerek erişim.
IDOR Seviye 2: Indirect Object
POST request içindeki gizli API çağrılarıyla veya UUID formatındaki değerlerle yetki aşımı kontrolü.
IDOR Seviye 3: Role Bypass
Basit ID numaralarının ötesinde, admin yetkilerini almak için JSON/JWT manipülasyonları ve çoklu request zinciri.
DOM XSS Seviye 1
Sistemdeki mantık hatasını bul, JavaScript filtrelerini atlatarak DOM üzerinden zafiyet tetikle.
DOM XSS Seviye 2
İleri seviye DOM-based XSS manipülasyonu. Gizli fonksiyonu tetikleyerek flag'i elde et.
Log Analizi Seviye 1
Docker üzerinde çalışan sistemde temel log dosyalarından siber saldırı izlerini tespit etme pratikleri.
Log Analizi Seviye 2
Karmaşık sunucu loglarında web saldırı izlerini filtreleme ve SOC analist seviyesi tehdit avcılığı.
Log Analizi Seviye 3
İleri düzey log manipülasyonlarına karşı defansif tespit, korelasyon kuralı yazımı ve olay müdahale (IR) simülasyonu.
Network Forensics Seviye 1
Zararlı yazılımın DNS üzerinden yaptığı iletişimi inceleyerek C2 alan adını ve sızdıran IP adresini tespit et.
Network Forensics Seviye 2
Ağ üzerinde ICMP (Ping) paketleriyle dışarı sızdırılan veriyi tespit edip decode ederek hedefi bul.
Network Forensics Seviye 3
FTP üzerinden gerçekleşen kaba kuvvet (brute-force) saldırısını, çalınan parolayı ve indirilen gizli veriyi tespit et.
LFI Seviye 1: Giriş
PHP 'include' fonksiyonu üzerindeki temel yerel dosya dahil etme zafiyeti. Filtreleme yok.
LFI Seviye 2: Filtre Atlatma
Dosya uzantısı kontrolü ve '..' engellerini aşarak hassas dosyalara erişim sağlama simülasyonu.
LFI Seviye 3: PHP Wrappers
PHP wrapper'ları (php://filter, data:// vb.) kullanarak kaynak kodu okuma ve yetki aşımı pratiği.
Banka Saldırı: CSRF Simülasyonu
Gerçekçi bir bankacılık uygulaması üzerinde CSRF zafiyeti tespiti ve sömürüsü. HTTP istek analizi gerektirir.
Cloud Breach Seviye 1: Giriş
Temel CloudTrail log analizi ile sızan IP ve kullanıcı tespiti yapın.
Cloud Breach Seviye 2: Persistence
Bulut ortamında kalıcılık sağlama ve yetki artırma adımlarının loglardan izlenmesi.
Cloud Breach Seviye 3: Exfiltration
İleri seviye veri sızdırma ve rol üstlenme (AssumeRole) saldırılarının analizi.
SSTI Seviye 1: Giriş
Server-Side Template Injection (SSTI) zafiyetlerine en temel düzeyde giriş. Şablona yansıtılan parametre üzerinden RCE (Remote Code Execution) pratiği.
SSTI Seviye 2: WAF Bypass
Giriş karakterlerini denetleyen WAF filtrelerini atlatarak şablon motoru üzerinde kod yürütme ve kısıtlı ortamları aşma simülasyonu.
SSTI Seviye 3: Shadow Env
Çevre değişkenlerini ve gizli nesneleri kullanarak WAF filtrelerini bypass edip gelişmiş şablon enjeksiyonu ve RCE gerçekleştirin.
Memory Forensics Seviye 1: System Triage
Volatility 3 kullanarak işletim sistemi triyajı yapın ve arka planda çalışan şüpheli süreçleri (processes) tespit edin.
Memory Forensics Seviye 2: Gizli Süreçler & C2
Kendini standart görev listesinden gizleyen süreçleri (unlinked processes) ve C2 komuta kontrol sunucusu ağ bağlantılarını analiz edin.
Memory Forensics Seviye 3: Bellek Enjeksiyonu
Process Injection zafiyeti barındıran meşru süreçleri bulun ve bellek içi parolaları (NTLM hash) sızdırma girişimlerini tespit edin.
XXE Seviye 1: Tehdit Bildirim Portal
SOC bildirim portalındaki XML parser zafiyetini (Reflected XXE) kullanarak sunucu üzerindeki hassas yerel dosyaları sızdırın.
XXE Seviye 2: Data Sync Blind
Hata mesajlarının fırlatıldığı ancak XML çıktılarının yansıtılmadığı veri senkronizasyon uygulamasında Blind/Error-based XXE tespiti ve sömürüsü.
XXE Seviye 3: SOC Policy Manager
Zorlu WAF kurallarını UTF-16 encoding ile atlatarak, sessizce libxml hataları ürettirip Out-of-Band (OOB) XXE sömürüsü gerçekleştirin.
SSRF Seviye 1: Giriş
Blog entegrasyon arayüzündeki filtresiz cURL kullanımını analiz ederek doğrudan yerel sisteme (loopback) erişim sağlayın.
SSRF Seviye 2: Filtre Atlatma
Metin bazlı engel listesini (Blacklist) atlatmak için IP karartma (Obfuscation) tekniklerini kullanarak yerel ağdaki gizli servise erişim sağlayın.
SSRF Seviye 3: Protocol Wrappers
Sıkı IP kontrolünü ve DNS çözümleme mekanizmalarını atlatarak protocol wrapper'lar yardımıyla yerel dosya sistemini okuyun.