Android Üzerinden SSL Kırma & Checker Yapma Rehberi
Selam Crackermain üyeleri 
Bugün sizlere Android cihazlardan nasıl
SSL kırabileceğinizi anlatıcam.
Bunu yaptığınızda bir siteye
checker yazmak çok daha kolay oluyor çünkü çoğu site artık
Cloudflare kullanıyor, normal web isteklerinden pek ekmek çıkmıyor.
Ama iş Android uygulamalarına geldi mi işler değişiyor
------------------------------
1. Neler Lazım?
- Android cihaz veya emulator
→ Tavsiyem:
Genymotion (root için çok uygun).
→ Alternatif:
Android Studio Emulator.
-
SSL Killer → [link=[URL]https://github.com/iSECPartners/Android-SSL-TrustKiller[/link][/URL]
(Her uygulamada çalışmaz, mesela banka app’lerinde unut gitsin. Orada
Frida devreye giriyor.)
-
Frida → [link=[URL]https://github.com/frida/frida/releases[/link][/URL]
-
Magisk (Root için) → [link=[URL]https://github.com/topjohnwu/Magisk[/link][/URL]
-
Burp Suite Community Edition → [link=[URL]https://portswigger.net/burp/communitydownload[/link][/URL]
(HTTP trafiğini dinlemek için en çok kullanılan araç.)
------------------------------
2. Kurulum
1. Burp Suite →
Proxy > Proxy Settings gir:
- Local IP:
- Port:
2. Emulator’dan proxy ayarlarını yap.
- Genymotion kullanıyorsan cihaz üstünde IP ve port zaten yazar, kopyala yapıştır geç.
3. SSL Killer’ı aç → sağ alttaki
+ tuşuna bas, hangi uygulamayı dinlemek istiyorsan seç.
Not: SSL Killer bazen çalışmaz. O zaman önce app’in eski sürümlerini dene, yine olmazsa Frida kullan.
Yeni sürümlerde SSL kırmak biraz daha sıkıntılı oluyor.
------------------------------
3. Trafiği Dinleme
- Root tamam
- SSL Killer kırıyor
- Burp Suite dinliyor
Buraya kadar her şey yolunda. Bundan sonrası biraz sizin kod bilginize kalıyor.
------------------------------
4. Checker Mantığı
1. App’te login ekranına sallama bir hesap gir.
2. Burp’te login isteğini bul.
3. İstek içinde genelde
token olur. Şöyle şeyler görürsün:
4. Aynı isteği tekrar gönder, bu kez elinde olan gerçek kullanıcı/şifre ile.
5. Gelen yanıta göre API’nin durumunu anlarsın:
- Hata dönüyorsa → API tek seferliktir ya da süresi dolmuştur.
- Çoğu API zaten süreli olur (mesela 1 dk).
✔ Eğer olumlu yanıt aldıysan, checker yapacak API buldun demektir.
✔ Bu API’yi Makro veya JS script ile checkera çevirebilirsin.
------------------------------
5. Son Sözler
- Ben burada olayı kısaca anlattım. Adım adım full rehber yazmak imkansız çünkü her cihazda, her app’te farklı sorun çıkar.
- Temel mantığı verdim, gerisi sizin bilgi ve becerinize kalıyor.
Daha detaylı öğrenmek, checker yazdırmak veya destek almak isteyenler bana ulaşabilir:
Discord: ccanboi
Not: “hata aldım, çalışmıyor” tarzı sorulara ücretli destek veriyorum.
------------------------------
Başka konularda da tutorial yazabilirim, istek bırakın yeter
