https://www.youtube.com/watch?v=PkXELH6Y2lM

> The hallucinations of the GPT models is a feature, not a bug

Понял, отбой.

HackTheBox ServMon

Лабораторная машина CTF платформы HackTheBox уровня Easy под управлением ОС Windows, в которой проэксплуатируем LFI в NSVM и поднимем привилегии с помощью NSClient.

https://blog.kiberdruzhinnik.ru/2024/01/hackthebox-servmon/

#hackthebox #writeup

Пару часов порешаем сегодня, остальное завтра и позже.

https://app.hackthebox.com/machines/583

Вот интересно, сервис опять отвалится?

#hackthebox #season4 #ctf

HackTheBox Monitored (Season 4, Linux, Medium)

#hackthebox #writeup #season4 #video

HackTheBox Monitored

Машина средней сложности на HackTheBox, предполагающая погружение в Nagios и эксплуатацию некоторых связанных с этой системой уязвимостей.

https://blog.kiberdruzhinnik.ru/2024/01/hackthebox-monitored/

#hackthebox #writeup #season4

Про организацию RSS-сервера

В сутках всего 24 часа, а мы все обложены мобильными телефонами и вездесущими уведомлениями от приложений. Чтобы оставаться сконцентрированными и хорошо выполнять свои задачи, нужно уметь отключать уведомления от приложений и отвязываться от сервисов, которые поглощают наше внимание бесконтрольно.

Например, мне не очень нравится, что Telegram превращается в социальную сеть, поэтому лично я стараюсь держать его только для переписок. В то же время, в нем существует некоторое количество авторов, которых я бы хотел читать, а еще, с некоторых пор, начал общаться здесь с вами.

Что делать?

Вот какие способы, навскидку, можно использовать для организации Telegram:

- раскидывание групп, каналов и ботов по отдельным категориям
- использование RSS для чтения каналов

Я использую оба метода, при этом каналы стараюсь читать с помощью RSS-клиентов. Если кто не знает, RSS - это технология древних, с помощью которой сайты могут предоставлять контент в укороченном или полном виде без использования стилей и всего вот этого ненужного.

Внезапно, каналы Telegram можно завернуть в RSS с помощью бриджей, например, любого публичного инстанса RSS-Bridge.

Зачем это?

С помощью фильтров в RSS можно исключать рекламные посты в Telegram, тратить меньше времени на выискивание новостей, массово помечать неинтересные посты. Помимо этого, можно воспользоваться агрегацией новостей из других источников, поддерживающих RSS - например, Хабр, VC или релизы интересующего вас проекта на Github.

Что по читалкам?

Если не хочется заморачиваться с селфхостедом и хочется просто попробовать подход, то можно использовать что-нибудь похожее на inoreader или feedly. Для тестов подойдет любой - у них есть бесплатные тарифы, приложения для устройств и веб-версия для десктопа.

Я же для себя развернул Miniflux, который не ограничен тарифами. Для устройств с iOS использую клиент Reeder (с помощью Google Reader API) для Android - FocusReader (с помощью Fever API), для десктопа - встроенный веб-интерфейс. Еще для Linux есть классный NewsFlash. Еще из альтернативных селфхостед серверных решений - tt-rss и FreshRSS.

Кстати, если у вас только устройства Apple, то Reeder умеет синхронизировать посты с помощью iCloud, и тогда не требуется никаких дополнительных серверов.


Кто-то пользуется чем-то подобным?

#rss #telegram

Чуток подзаписал старенькое.

https://www.youtube.com/watch?v=XjmXDyvTcz8

#hackthebox #season3

Какой-то новый проект с лабами со стороны синих на написание SIEM-правил и быстрый детект атак. Кому-то интересно такое?

https://defbox.io/

Ну, вы реакций-то побольше накидайте, чё вам, жалко что ли?

⚠️⚠️⚠️

Если пользовались каким-нибудь NAS, то стоит провериться, что ваших учетных данных нет в Naz.API. Вот подробное описание от Троя. Да и вообще стоит провериться. Пароли я бы не рекомендовал в этот сервис грузить, но подписаться на используемые почты стоит тут.

Дежурное напоминание: пользуйтесь менеджерами паролей, используйте уникальные пароли к разным сервисам.

#breach

Defbox namePythonRCE

Экспериментально и довольно лениво пробуем анализировать логи и писать правила, чтобы защитить дырявый Python сервис на Flask.

https://blog.kiberdruzhinnik.ru/2024/01/defbox-namepythonrce/

#defbox #writeup

Про LocalAI

Если кто-то хотел на локальной машине погонять LLM-ки (большие языковые модели), то есть неплохой проект на гитхабе LocalAI.

Под виндой можно поднять с помощью WSL версии 2 и установленном Docker Desktop примерно так:

git clone https://github.com/go-skynet/LocalAI
cd LocalAI
docker pull quay.io/go-skynet/local-ai:latest

В .env поправить переменные:

GALLERIES=[{"name":"model-gallery", "url":"github:go-skynet/model-gallery/index.yaml"}, {"url": "github:go-skynet/model-gallery/huggingface.yaml","name":"huggingface"}]
CORS=true

Запускаем так:

docker compose up -d && docker compose logs -f

Проверка доступных для установки моделей:

curl http://localhost:8080/models/available | jq '.[] | select(.name | contains("llama2"))'

Пример установки модели:

curl http://localhost:8080/models/apply -H "Content-Type: application/json" -d '{
    "id": "huggingface@thebloke__luna-ai-llama2-uncensored-ggml__luna-ai-llama2-uncensored.ggmlv3.q4_k_s.bin",
    "name": "llama-2-uncensored-q4ks"
 }'

Проверка статуса установки модели по UUID, который выдали на предыдущем шаге:

curl http://localhost:8080/models/jobs/<uuid>

После установки можем использовать стандартный API от OpenAI:

curl http://localhost:8080/v1/chat/completions -H "Content-Type: application/json" -d '{
     "model": "llama-2-uncensored-q4ks",
     "messages": [{"role": "user", "content": "How are you?"}],
     "temperature": 0.9
   }'

#ai #llm

Явно стоит следить за вот этой историей. Сначала форкали AOSP, теперь потихоньку пилят свое и партнерятся с разработчиками приложений, чтобы сразу на старте иметь заполненный магазин.

HackTheBox Sunday

Лабораторная машина CTF платформы HackTheBox уровня Easy под управлением ОС Solaris, в которой воспользуемся сервисом Finger для подбора имен учетных записей и словарями для подбора паролей, а затем поднимем привилегии с помощью мисконфигурации с правами.

https://blog.kiberdruzhinnik.ru/2024/01/hackthebox-sunday/

#hackthebox #writeup

Ой, сегодня вот опять духота - сложная машина на Windows.

Сегодня немного посмотрим, полноценно решать будем завтра.

https://app.hackthebox.com/machines/584

HackTheBox Analysis

Сложная машина на HackTheBox из четвертого сезона на Windows, в которой нужно проэксплуатировать LDAP-инъекцию, с помощью которой получится подобрать пароль пользователя. Повышение привилегий выполнено через недоработку машины - его явно исправят позже.

https://blog.kiberdruzhinnik.ru/2024/01/hackthebox-analysis/

#hackthebox #season4 #writeup

HackTheBox Analysis (Season 4)

#hackthebox #season4 #writeup #video

Мощно. Союз везет свои железки на NAMM. Тула 💪

https://soyuzmicrophones.com/articles/soyuz2024