Все потоки

Всех приветствую читатели Хабра!

Сегодня я поведую о том как установить, настроить, и эксплуатировать уязвимости заранее уязвимой машины Metasploitable2-Linux. В данной статье я скорее даже поделюсь своим опытом взлома уязвимого хоста в виртуальной машине.
Но для начали правовая информация:

Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях.

Автор статьи не несет ответственности за ваши действия.
Автор статьи ни к чему не призывает, более того напоминаю о существовании некоторых статей в уголовном кодексе РФ, их никто не отменял:
УК РФ Статья 272. Неправомерный доступ к компьютерной информации
УК РФ Статья 273. Создание, использование и распространение вредоносных компьютерных программ
УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

Естественно для целей изучения указанного софта я и использую виртуальную машину у себя на своем личном компьютере, а не удаленный хост или сервер.
Моя основная система Kali GNU/Linux, цель моей атаки - виртуальная машина Metasploitable2-Linux. Вообще Metasploitable2-Linux была создана для тестирования на проникновения (пентест, белый хакинг) другого известного фреймворка - metasploit-framework. Но metasploit-framework я использовать в данном случае не буду, а буду пробовать атаковать уязвимый хост программами для брутфорса - hydra, medusa, ncrack.

Итак у нас имеются две задачи сейчас:

I "Поднять" уязвимую машину в virtual box, и настроить ее.
II Проэксплуатировать уязвимости машины.

Развитие артиллерии в Холодную войну настолько переплелось со всеми видами деятельности человека, что в двух словах не объяснишь. Сейчас артиллерия — это сплав механики, физики, химии, материаловедения, машиностроения и металлообработки и, конечно же, электроники. И начну я издалека, мы отправимся в далёкие годы, когда новейшие японские броненосцы отстрелялись гораздо лучше русских.

Если во время сражения в Жёлтом море наши броненосцы имели вполне себе нормальный процент попаданий, то в Цусиме эскадра, выдержавшая плавание аж через весь шарик, выдала почти в два раза худшую стрельбу, чем японцы. Но примечательно во всём этом было то, что точность стрельбы оказалась крайне низкой, а дистанции, с которых открывали огонь, перескочили отметку в 6 км (броненосец «Asahi» открыл огонь с 7 км, «Mikasa» — с 6,4 км), тогда как те же хозяева морей англичане старались не стрелять дальше 2,5-3 км. Это привело к огромному расходу боезапаса (маячил неиллюзорный шанс, что в сражении мог закончиться БК) и невысокой точности стрельбы. Дальномеры Barr&Stroud FA3, стоявшие на кораблях противоборствующих эскадр, были недостаточны для точной стрельбы на таких дистанциях, а ведь сами пушки били уже под 20 км.

"Если ты такой умный, то где твои деньги?"

В настоящей статье рассмотрим вопрос о том, как СОД позволяет повысить маржинальность проектной деятельности. Наибольшие затраты при проектировании идут на оплату труда специалистов. Себестоимость подготовки проектной документации зависит от времени, которое компания затратит на ее подготовку. Для повышения маржинальности следует рассмотреть возможности сокращения времени проектирования без потери качества.

Создание модели линейной регрессии относится к задачам обучения с учителем, цель которых — предсказать значение непрерывной зависимой переменной (y) на основе набора признаков (X).

Одним из ключевых допущений любой модели линейной регрессии является предположение, что зависимая переменная (y) в некоторой степени линейно зависит от независимых переменных (Xi). Это означает, что мы можем оценить значение y, используя математическое выражение:

В начале октября прошел трехдневный чемпионат по информационной безопасности федерального уровня CyberCamp 2024.

О том, из чего он состоял можно почитать в разных СМИ, например, на РБК, переписывать их текст, естественно, не буду.

Автор статьи принимал участие в соревновании на стороне "синих", расследуя действия "красных" и соревнуясь в индивидуальном зачете с 6000 других участников!

Если вам интересно посмотреть на скрины заданий, узнать мнение автора о мероприятии, понять как это все устроено изнутри, однако вы всегда боялись принимать участие лично, то вы по адресу!

Надеюсь, что вы сможете оценить атмосферу мероприятия и узнать что-то новое для себя.

Приятного чтения!

Если вы, как менеджер, ищете способы улучшить эффективность разработки, обратите внимание на эти важные пункты. Они показывает ключевые направления для оптимизации процессов и повышения продуктивности команд.

В этой статье мы исследуем проблему извлечения квадратного корня из перестановки , иными словами задачу нахождения всех таких перестановок , что = . Будет сформулирован критерий возможности извлечения квадратного корня, алгоритм нахождения корней и формула их подсчёта в общем виде.

В процессе разработки компилятора Roc нам то и дело приходилось углубляться в изучение сложных тем по информатике. Снова и снова всплывает тема скорости, и это касается как производительности среды, в которой исполняется генерируемый нами код, так и производительности самого компилятора.

В ходе такой работы нам исключительно пригодился подход под названием «дата-ориентированное проектирование». Это идея, согласно которой при структурировании кода требуется отталкиваться от специфики тех данных, с которыми приходится работать.

Дата-ориентированное проектирование часто используется при программировании игр, где именно от скорости среды выполнения зависит, что вы сможете и чего не сможете сделать. В последнее время эта парадигма стала активнее применяться и в других предметных областях, например, в разработке компиляторов для Zig и Rust, а также в других проектах, где акцент делается на ускорении среды выполнения, например, в  Mold и Bun.

Эндрю Келли, создатель Zig, выступил с отличной лекцией Practical Data-oriented design, которая служит введением в основные идеи, лежащие в основе DoD. В этой статье я покажу, как мы изменили компилятор roc, переработав его с учётом некоторых из этих идей.

Знаете, всегда радует, если разработчики ПО или игр продолжают поддерживать свои продукты спустя несколько лет. Сейчас такое время, что компания, выпустившая какую-либо программу, через полгода уже и существовать не будет — а значит, пользователи ПО останутся без поддержки. Жесткий пример подобного, правда не для ПО, а для другого высокотехнологичного продукта, — компания Second Sight. Она выпускала бионические глазные импланты Argus. Через пару лет прекратила их производство и заявила, что не может полноценно поддерживать работу существующих устройств, которые вживили более чем 350 пациентам по всему миру.

Но есть и положительные примеры. Один из них — игра Age of Mythology. Она получает обновления с 2002 года, с момента своего выхода в свет. Разработчики периодически выпускают DLC-версии игры с улучшенными текстурами. Но сейчас они превзошли самих себя и выпустили ремейк с полностью обновленной графикой, игровым ИИ и прочими фишками. Атмосфера, управление, звуки и вообще окружающая игрока виртуальная среда остались прежними. Об этом и поговорим под катом.

Главной темой минувшей недели стала полная блокировка Discord для российских пользователей. Сервис недоступен уже пару дней, а в топе Хабра висят сразу несколько статей о том, как эту блокировку обойти. На этой волне многие стали опасаться, что та же участь ждет и Steam, но в Роскомнадзоре пока заверили, что таких планов нет. Какие еще громкие новости мира IT волновали пользователей сети последние семь дней — в нашем обзоре.

Доброго времени всем пользователям Suno и тем, кто интересуется технологиями ИИ в музыке. Как и ранее не претендую на полноту освещения вопроса, но надеюсь, что информация будет полезной

Под аранжировкой обычно понимают создание инструментального трека (минусовки, backing track) на основе мелодии или мелодии + гармонии, с определенным стилем, темпом, формой/структурой. Suno генерирует песни (и инструментал) целиком с задаваемыми (относительно) стилем и формой. Показалось интересным протестировать систему на возможность создания нужной аранжировки. Особенно после своих экспериментов с Audio Input (см. статью), когда эта функция Suno стала очевидной. Да и читатели обращались с подобным вопросом. Так я затеял серию экспериментов, результаты которых представил в пяти тестах. (Все звуковые примеры и детали у меня на сайте).

За последние пару месяцев я сделал более 80 DS (dataset, исходников), как с вокалом, так и инструментальных. Причем, чаще это была не просто отрезка фрагмента до 60 сек. из готового трека, а его препарация или сборка фрагмента c нужным содержанием (вокал, аккорды, Hi-Hat Loop и т.п.).

Тест #1 / от спетой мелодии, текста... ("По-Гру-Гла-Но ...") *.

Отталкиваясь от удачного опыта с генерацией аранжировок в разных стилях на а капеллу Воробей я решил провести более детальный эксперимент: на входе спетая мелодия + текст (Lyrics) и задание Style. Классно же спеть свою мелодию, скормить Suno и получить готовую песню в нужном стиле...

Написал простую мелодию, сочинил шуточный текст, включающий Bridge, Verse и Chorus и пропел все это на простую гармонию. Сначала в темпе 90 bpm - тогда пришлось сделать 2 разных DS: Bridge+Verse и Bridge+Chorus, иначе нельзя было уложиться в ограничение в 60 сек. Затем - в темпе 102 bpm: Bridge+Chorus, здесь Bridge уже не пропевался.

Недавно мы опубликовали в блоге перевод статьи о том, как GitHub заменил SourceForge в роли доминирующей платформы для хостинга кода. Но, как справедливо отметил автор оригинала, его мнение основано на открытых источниках и интервью с коллегами. А потом своим ви́дением поделился один из сооснователей GitHub, Скотт Чакон, который «действительно был там». Под катом — перевод его ответной статьи о реальных причинах победы GitHub. 

Наконец-то пришло время взяться за то, что я давно планировал — подробный гайд по асинхронной версии SQLAlchemy 2.0 в стиле ORM. В этой серии статей я подробно расскажу обо всех аспектах: от создания моделей и установления связей между ними до миграций с Alembic и взаимодействия с данными в базе. Мы будем шаг за шагом разбирать ключевые моменты работы с асинхронной базой данных, что позволит вам глубже понять SQLAlchemy и применить эти знания на практике.

Для начала, давайте разберёмся, что такое SQLAlchemy и почему каждый разработчик, работающий с реляционными базами данных (такими как SQLite, PostgreSQL, MySQL и т. д.), должен знать о ней. После этого — настройка. Мы будем работать с PostgreSQL, но не переживайте: код, который мы напишем, универсален для всех реляционных баз данных. Мы начнем с базовой настройки SQLAlchemy для асинхронного взаимодействия, а затем перейдём к созданию таблиц в современном декларативном стиле.

Жизнь – это вечная спираль, где всё идёт по кругу, но с каждым витком становится лучше. Ещё 20 лет назад я писал веб-приложения на Perl + Template Toolkit 2, генерируя HTML на стороне сервера. Время шло, и веб-разработка разделилась на две половины: фронтенд и бэкенд, а между ними API. Со временем я переключился с Perl на Go для бэкенда и AngularJS, а потом и Vue для фронтенда. В таком стеке я создал несколько проектов, включая HighLoad.Fun. Писать API и генерировать клиентскую библиотеку на TypeScript было удобно, а Vue-приложение деплоилось как SPA. Всё вроде бы шло хорошо... до тех пор, пока не пришла необходимость внедрить SSR для SEO. Тут начались проблемы: нужно было поднять NodeJS сервер для выполнения SSR, который должен ходить на Go сервер за данными, думать о том, где в данный момент выполняется код, на сервере или в браузере и писать и писать бессмысленный код перекладывающий данные.

Тогда я встал перед выбором: либо отказаться от Go на бэкенде, либо отказаться от Vue на фронтенде. Для меня выбор был очевиден: я остался с Go.

Генерация HTML на Go, в общем-то, не проблема: можно использовать готовые шаблонизаторы, вручную писать контроллеры и настроить WebPack для сборки статики. Но всё это долго и неудобно. А главное – я люблю писать программы, но ненавижу писать код. И тогда я задался целью: создать инструмент, который облегчит мне жизнь и будет автоматически решать большую часть задач за меня.

Мне нужен был генератор, который бы:

* Превращал Vue-подобные шаблоны в Go-код с типизированными переменными, позволяя ловить ошибки на этапе компиляции.

* Автоматически генерировал DataProvider интерфейсы для получения данных и, желательно, их базовую имплементацию.

* Собирал и подключал только нужные JS и CSS файлы из лежащих рядом с шаблонами TypeScript и SCSS файлов.

* Поддерживал переменные, выражения, условия и циклы в шаблонах, как во Vue.

* Объединял шаблоны из подпапок по принципу Vue-тега <router-view/>.

* Автоматически маршрутизировал страницы, поддерживая динамические параметры.

И главное – всё это должно работать в автоматическом режиме: изменения в исходном коде автоматически пересобираются и перезапускаются без лишних усилий.

После ряда экспериментов и нескольких ночей мне это кажется удалось. Под катом – подробный туториал, как разрабатывать быстрые и удобные сайты с помощью GoSSR.

Бывает так что некоторое изобретение никак не вписывается в рамки стандартного описания его функций и смысла.

Тогда множество авторов ищут ему близкие по смыслу слова и свойства, через которые ему можно дать словесное обозначение… но не всегда это бывает удачно.

И шаропоезд Яремчука это именно такой случай. Как шаропоезд только не называли…

Больше месяца мы в MetaLamp изучаем тему рынка предсказаний и его главного представителя — Polymarket. Это сложный и многосоставной проект: оракул UMA, ордербук и CTF (Gnosis Сonditional Token Framework) — последнее мы разберем в этой статье. Расскажу, как устроена и реализована токенизация исходов предсказаний.

В фильме «Выживший» главный герой разрезал тушу коня, чтобы укрыться в ней от холода. Немного разовьём ситуацию. Представьте, что вы сильно изранены. Но есть один экстравагантный способ выжить — это слить свою поврежденную плоть с другим раненым человеком, став в итоге новым созданием на базе человеческого организма. Ученые обнаружили эту поразительную способность у гребневиков, которые могут сливаться вместе, объединяя воедино нервную и пищеварительную систему.

Старую собаку новым трюкам не обучишь, вот и я взялся за старое. Blurhash — это компактный способ представления размытой превьюшки изображения в виде ASCII-строки. Разработан финской компанией Wolt (аналог Delivery Club). Давно хотелось внедрить такое к себе в API, чтобы любой клиент мог более плавно и изящно делать загрузку контент на своем сайте. Но сколько я на него смотрел — всегда не давала покоя скорость работы, уж больно медленно и «в лоб» он был написан. Но вот время пришло наконец-то разобраться, что же он так медленно работает.