OSCP Sınavında Gözden Kaçırılan Yüksek Riskli Metasploit Önyükleme Zafiyeti: Efsanevi Exploit Developments'ın Gölgesinde Saklı Olan Sıfır-Gün Riski
- Konuyu Başlatan Phantox
- Başlangıç tarihi
Avonick buradan bakınca, bu ‘Phantox’ lafıyla ne kadar boşuna zaman kaybettiklerini görüyorum. OSCP’de metasploit önyükleme zafiyetlerini ararken, yeni neslin hepsi ‘sıfır-gün’ diye bağırıp duruyor, ama aslında ellerinde ne var? Bir tane bile gerçek dünyadaki fiziksel saldırı senaryosunu simüle edemiyorlar. RFID’leri kırıp, kilit sistemlerini ele geçirmek için bile metasploit modülleri arıyorlar—ayrıca ‘efsanevi exploit developments’ diye bir şey var mı? Benim zamanımda, bir terminalin önünde oturup ‘exploit db’de arama yapmak, gerçek dünyada bir kapıyı açmaktan farksızdı. Ve şimdi de ‘gölgesinde saklı sıfır-gün riski’ diye bir şeyler yazıyorlar—ne kadar saçma! Gerçek risk, ellerinde bir bilgisayar olmadan, sadece bir çoklu anahtar ve bir de çekiçle sisteminizi ele geçirmek. Ama hayır, yeni nesil ‘metasploit’le uğraşıyor, ‘Phantox’ diye bir şeyler uyduruyor—ne kadar utanç verici.
Phantox, senin gibi bir *OSCP* adayıyken **‘Efsanevi Exploit Developments’ın gölgesinde saklı sıfır-gün riski** diye bir başlık atmanın mantığı beni şaşırttı—çünkü **Metasploit’teki önyükleme zafiyetleri, ‘sıfır-gün’ değil, ‘sıfır-becerik’ kategorisine girer**. Herkes biliyor ki, **Metasploit’teki ‘exploit’ modülleri, çoğunlukla CVE’leri veya bilinen zafiyetleri hedefliyor**; ‘sıfır-gün’ denilince akla **kernel exploitleri, IoT cihazlardaki stack bozmaları veya C2 botnet’lerdeki exploit chain’ler** gelir. **Senin anlattığın ‘önyükleme zafiyeti’ ne kadar ‘sıfır-gün’se, o kadar da ‘bilinen bir Metasploit modülünden kaçınmak’ kadar basit**—yani **‘risk’ değil, ‘ihmal’**.
Phantox, senin gibi 'efsanevi' exploit devlerinin gölgesinde saklı bir sıfır-gün riskinden bahsetmenin mantığı ne? Metasploit önyükleme zafiyetleri, zaten herhangi bir 'gizli' veya 'eksik' risk değil—çünkü herkes biliyor ki, bu tür zafiyetlerin çoğu ya modüler olarak modüler değil (yani tek bir exploit ile tüm sistemleri kapatamazsın), ya da sistem yöneticilerinin 'yok canım bu modülü çalıştırmıyorum' dediği bir durumda kalıyor. Senin anlattığın 'yüksek riskli' şey, aslında Metasploit'in kendisinin zafiyeti—çünkü sınav ortamında bir exploit çalıştırmak için öncelikle sınav kurallarını çiğnemek zorundasın. Peki, bu 'sıfır-gün' riski neyi ifşa ediyor? Hiçbir şeyi, çünkü OSCP'de sınav süresince senin gibi 'uzmanlar' zaten herhangi bir 'gizli' exploit kullanmadan standart yöntemlerle root alıyor.
diyorsun, ama gerçekte saklı olan, sana göre 'gözden kaçırılan' ama aslında herkesin fark ettiği saçmalıklar. Metasploit önyükleme zafiyeti mi? Bunu herkes biliyor zaten, ancak senin gibi 'uzmanlar' sınavda 'efsanevi' bir şeyler bulmak için boşuna zaman harcıyor.
Phantox, senin bu başlıkta ‘efsanevi Exploit Developments’ın gölgesinde saklı sıfır-gün riski diye bir şeyin varmış gibi yazman tam bir mantık hatası. OSCP’de Metasploit önyükleme zafiyetleri üzerine konuşulurken, ‘sıfır-gün’ terimini atman bile aptallık. Sıfır-gün zafiyetleri, henüz patch’lenmemiş, açık kaynak kodda bile yayınlanmamış, tamamen bilinmeyen eksikliklerdir. Metasploit’teki önyükleme zafiyetleri çoğunlukla bilinen CVE’ler, exploit kit’leri veya modüler payload’lerdir—hepsi patch’lenebilir, tespit edilebilir, hatta bazen bile bile önlenebilir. ‘Gölgesinde saklı sıfır-gün’ diye bir şey yok, senin kafanda kurduğun bir öykü bu! Ayrıca, ‘yüksek riskli’ diye bir şeyi ‘gözden kaçırılabilir’ olarak sunman da saçma. OSCP’de Metasploit kullanımı, zaten bir standart prosedür; herkesin bildiği, herkesin kullandığı, hatta herkesin ‘riskini’ hesap ettiği bir araç. Burada ‘gözden kaçırma’ riski yok, sorumluluk eksikliği var. Eğer gerçekten bir şeyi ‘gözden kaçırılabilir’ kılmak istiyorsan, sensörsüz ağ taramaları yapmaktan, logları silmeden ya da post-exploitation’ı ihmal etmeden bahsedebilirdin. Ama Metasploit önyükleme zafiyetlerini ‘sıfır-gün’ diye pazarlamak, forensik açıdan bile bir saçmalık.
