GitHub *

Существует множество инструментов, которые можно использовать для повышения привилегий в системах как Windows, так и Linux. Подробнее о пяти инструментах, которые помогут вам в этом процессе:

1. PrivescCheck от itm4n — Целью этого сценария является выявление уязвимостей локального повышения привилегий (LPE), которые обычно возникают из‑за проблем с конфигурацией Windows или неправильных методов работы. Он также может собирать полезную информацию для некоторых задач эксплуатации и пост‑эксплуатации.

2. Linux Exploit Suggester от The‑Z-Labs — Простой в использовании инструмент, позволяющий быстро определить потенциальные векторы атаки для повышения привилегий в системах Linux. Он автоматически определяет версию ядра и возвращает список эксплойтов, соответствующих этой версии.

3. PEASS‑ng от Carlospolop — Это своего рода швейцарский армейский нож для повышения привилегий. Инструмент предоставляет обширные возможности по обнаружению уязвимостей и эксплуатации их в Windows и Unix‑like системах.

4. Moriarty от BC‑SECURITY — Комплексный.NET‑инструмент, расширяющий функциональность Watson and Sherlock. Он предназначен для перечисления недостающих KB, обнаружения различных уязвимостей и предложения потенциальных эксплойтов для повышения привилегий в средах Windows.

5. autoSUID от Albertov — Этот сценарий позволяет вам находить и перечислять двоичные файлы SUID и проверять, можно ли использовать один из них для повышения или поддержания повышенных привилегий итеративным способом.

   Мы в телеграме.

Вызывайте санитайзер! Фаззим исполняемые файлы при помощи AFL++ с санитайзерами

У нас вышел первый материал на Хакере, приятного чтения (если есть платная подписка).

Фаззинг, как ты, наверное, знаешь, — это техника, которая позволяет автоматизировать поиск уязвимостей в софте. Бывает фаззинг методом «черного ящика», когда у нас нет исходников программы, а бывает основанный на покрытии — то есть применяемый к исходникам. В этой статье сосредоточимся на втором виде и на примере AFL++ разберем, какую роль здесь играют санитайзеры и как их применять.

В этой статье идет речь о фаз­зинге прог­рамм. Нашим инс­тру­мен­том будет AFL++ — фаз­зер, ори­енти­рован­ный на пок­рытие. Это зна­чит, что он собира­ет информа­цию о пок­рытии для каж­дого изме­нен­ного вхо­да, что­бы обна­ружить новые пути выпол­нения и потен­циаль­ные ошиб­ки. Если у тебя есть исходник прог­раммы, AFL может встав­лять вызовы фун­кций в начало каж­дого базово­го бло­ка, нап­ример в фун­кции и цик­лы.

Разработчики сообщества Open Source столкнулись с потоком спам-запросов Pull Request на их проекты с открытым исходным кодом от пользователей платформы tea.xyz.

В tea.xyz обещают пользователям, что они смогут «получить вознаграждение за их вклад в открытый исходный код». Эта платформа описывает свою цель, как «повысить устойчивость программного обеспечения с открытым исходным кодом».

Пока что tea.xyz удалось добиться прямо противоположного. Пообещав вознаградить участников с открытым исходным кодом криптотокенами, проект попросил пользователей подтвердить свой доступ к проектам с открытым исходным кодом, объединив файл YAML, содержащий адрес их криптокошелька. Это вызвало поток запросов на включение в известные, часто не связанные с криптовалютой проекты с открытым исходным кодом от пользователей, которые никогда не участвовали в проекте (или, часто, в каком-либо проекте с открытым исходным кодом), но которые хотели объединить их в файл с описанием, как «владелец кода».

Это не первый случай, когда криптовалюта генерирует массовый спам на Github, хотя другой недавний инцидент (к счастью) в основном ограничивался криптопроектами с открытым исходным кодом и не тратил время на проекты, не связанные с криптовалютой, как этот.

Облачная платформа Yandex Cloud разработала библиотеку рекомендаций для работы с данными на разных этапах: от обработки и хранения до анализа и визуализации. Это набор практических руководств, код, документация, обучающие курсы, которые помогут компаниям быстрее и проще разрабатывать в облаке корпоративные хранилища данных, аналитические системы и не только.

Проект Data Platform Solution Library доступен на GitHub. В репозитории библиотеки выложены рекомендации по работе в облаке с Data Warehouse (DWH) — хранилища, предназначенного для сбора и аналитической обработки исторических данных организации. С их помощью IT-специалисты компаний смогут реализовывать такие сценарии как охлаждение данных. 

Также в рамках проекта Data Platform Solution Library доступны решения для интеграции данных. Они помогают объединить данные из нескольких разрозненных источников и предоставить их в консолидированном виде конечным пользователям. Так, в библиотеке описаны сценарии переноса данных из Yandex Direct или аналитики данных из «Яндекс Метрики».

По каждому сценарию для пользователей Data Platform Solution Library доступны статьи, документация, обучающие материалы и вебинары для работы с данными в облаке. В будущем в библиотеке появятся рекомендации по машинному обучению, real-time аналитике, репликации баз данных и не только.

28 января 2024 года состоялся релиз открытой утилиты TuxClocker 1.5 для мониторинга параметров и разгона видеокарт Nvidia и AMD на ПК с ОС Linux. Исходный код проекта выложен на GitHub под лицензией GNU General Public License v3.0.

Версия TuxClocker 1.5 поддерживает управление скоростью вращения вентиляторов видеокарт серии AMD Radeon RX 7000. В дополнение к поддержке управления скоростью вращения вентиляторов AMD RDNA3 проект теперь позволяет проводить изменение настроек частот GPU Nvidia за пределами сред X.Org с помощью непосредственного использования NVML API.

В выпуске TuxClocker 1.5 исправлены ранее выявленные неправильные показания энергопотребления для некоторых GPU, а также внесены различные корректировки кода и улучшения в интерфейсе.

Проект TuxClocker развивается несколько лет. Для пользователей он выглядит как простой и удобный графический интерфейс, который работает через API D‑Bus с GPU Nvidia. а также с GPU AMD с помощью драйвера ядра AMDGPU с открытым исходным кодом.

Первая стабильная версия открытой утилиты TuxClocker 1.0 вышла в сентябре 2023 года. Основная новая опция TuxClocker 1.0 — предоставление API‑интерфейса D‑Bus, позволяющего задействовать возможности TuxClocker в более универсальных сценариях использования, например, в стороннем программном обеспечении.

Команда разработчиков MC после пяти месяцев разработки опубликовала выпуск консольного файлового менеджера Midnight Commander 4.8.31. Исходный код проекта выложен на GitHub под лицензией GPLv3+.

Список основных изменений проекта:

• в VFS добавлена поддержка формата сжатия LZO/LZOP;

• виртуальная ФС uc1541, предоставляющая доступ к дисковым образам Commodore VIC20/C64/C128, обновлена до версии 3.6;

• реализация виртуальной ФС s3+, используемая для доступа к хранилищу Amazon AWS S3, переведена на Python 3;

• в VFS прекращена поддержка сервера и протокола FISH;

• повышены требования к версии GLib, для работы теперь требуется как минимум выпуск 2.32.0;

• в темах оформления добавлена поддержка назначения цветов для выделения в редакторе непечатных символов;

• на платформе FreeBSD в драйвере ext2fs добавлена поддержка атрибутов файлов;

• решена проблема с выставлением некорректного времени изменения после возобновления прерванной операции копирования;

• в редакторе налажено удаление выделенных столбцов;

• в Tar VFS решена проблема с обработкой жёстких ссылок;

• в Shell VFS решена проблема с именами файлов, включающими кириллические или диакритические символы.

Источник: OpenNET.

Вышла новая версия библиотеки для создания PDF-файлов CapyPDF 0.8.0. В неё добавлена новая функция — поддержка форм XObject и аннотаций меток принтера.

Метки принтера — это цветные полосы и регистрационные строки, которые необходимы принтерам для контроля качества. Традиционно эти метки рисовались в графическом потоке страницы. Это проблематично, поскольку в настоящее время типографии предпочитают использовать свои собственные метки, а не те, которые созданы автором документа. PDF решает эту проблему, перемещая эти графические операции в отдельные контексты рисования (в частности, «формы XObject», которые на самом деле не являются формами, хотя и являются XObject), которые затем можно «приклеить» поверх страницы. Эти аннотации отображаются в приложениях для просмотра PDF-файлов, но не печатаются.

Исходный код проекта CapyPDF выложен на GitHub под лицензией Apache-2.0 license.

Разработчик проекта пояснил, что до версии 1.0 пока ещё далеко. Не все реализации систем и обращений к API в CapyPDF являются стабильными. Базовая функциональность так же уже есть, но она даже близко не полная и находится в разработке.

https://console.dev/

Добрая некоммерческая инициатива. Каталог инструментов разработчика. Независимые ревью. Контента ещё мало, но уже достаточно для раскрутки.

На днях с коллегами довелось восстанавливать FC коммутатор Brocade. В открытом доступе были скрипты, которые формировали из образа прошивки образ диска и записывали образ на Compact Flash. К сожалению, они были из 90-х и частично не работали. Мы изучили алгоритмы тех мест, которые не работали и исправили скрипты. Обновленный форк с пояснениями(P.S.) можете найти на github.

Состоялся выпуск минималистичного многоплатформенного веб-браузера NetSurf 3.11, способного работать на системах с несколькими десятками мегабайт ОЗУ.

Сборки проекта подготовлены для Linux, Windows, Haiku, AmigaOS, RISC OS и различных Unix-подобных систем. Код браузера написан на языке C и распространяется на GitHub под лицензией GPLv2.

Браузер NetSurf 3.11 поддерживает вкладки, закладки, отображение эскизов страниц, автодополнение URL в адресной строке, масштабирование страниц, HTTPS, SVG, интерфейс для управления Cookie, режим сохранения страниц с изображениями, стандарты HTML 4.01, CSS 2.1 и частично HTML5.

В проекте предоставляется ограниченная поддержка JavaScript, которая по умолчанию отключена. Страницы отображаются при помощи собственного браузерного движка, основу которого составляют библиотеки Hubbub, LibCSS и LibDOM. Для обработки JavaScript применяется движок Duktape.

В новой версии NetSurf:

• улучшена поддержка CSS и обеспечена корректная отрисовка страниц, в которых используется CSS-свойство flex;

• улучшена компоновка таблиц, обработка списков и поддержка тёмных тем оформления;

• проведена оптимизация производительности. Улучшена поддержка платформы RISC OS;

• добавлена поддержка формата изображений JpegXL;

• добавлен декодировщик изображений rsvg;

• по умолчанию отключены TLS 1.0 и TLS 1.1, и настроено использование TLS 1.3;

• добавлена поддержка OpenSSL 3;

• обеспечена поддержка автозамены http на https;

• улучшен интерфейс на базе библиотеки GTK.

Источник: OpenNET.

На GitHub вышел проект загрузчика файлов (file downloader) Caracal, написанный на языке программирования Rust.

Исходный код проекта Caracal распространяется под свободной лицензией GNU.

Текущая версия утилиты Caracal имеет поддержку HTTP/HTTP, SFTP и MinIO.

Для сборки Caracal необходимы инструменты и пакеты:rustc, cargo, pkg-config и libgit2.

Пример использования Caracal:

# show usage
caracal help

# download a file from HTTP server
caracal https://www.rust-lang.org/

# download multiple files from HTTP server
caracal https://example.com/a.tar.gz https://example.com/b.zip

# copy a file from local file system
caracal /etc/os-release

# download a file from SFTP server
caracal sftp://my-ssh-server/etc/os-release

# copy a file from MinIO server
caracal minio://myminio/path/to/file

# download multiple files from different services
caracal \
    /etc/os-release \
    https://example.com/a.tar.gz \
    sftp://my-ssh-server/etc/os-release \
    minio://myminio/path/to/file

# download multiple files from different services and put them in directory /tmp/downloads
mkdir -p /tmp/downloads && \
    caracal -D /tmp/downloads \
        /etc/os-release \
        sftp://my-ssh-server/etc/os-release \
        minio://myminio/path/to/file \
        https://example.com/a.tar.gz

Apple опубликовала исходные тексты низкоуровневых системных компонентов операционной системы macOS 14.2 (Sonoma), в которых используется свободное программное обеспечение, включая составные части Darwin и прочие компоненты, программы и библиотеки, не связанные с GUI. Всего опубликовано 172 пакета с исходными текстами. По сравнению с веткой macOS 13 в репозитории macOS 14.2 удалены пакеты gnudiff и libstdcxx.

Среди прочего в открытом виде доступен код ядра XNU, исходные тексты которого публикуются в виде срезов кода, связанных с очередным релизом macOS. XNU является частью открытого проекта Darwin и представляет собой гибридное ядро, сочетающее ядро Mach, компоненты от проекта FreeBSD и C++ API IOKit для написания драйверов.

Также Apple опубликовала открытые компоненты, используемые в мобильной платформе iOS 17.2. Этот проект включает два пакета: WebKit и libiconv.

Источник: OpenNET.

Вышел в релиз выпуск проекта FreeRDP 3.0.0, предлагающий свободную реализацию протокола удалённого доступа к рабочему столу RDP (Remote Desktop Protocol), развиваемую на основе спецификаций Microsoft. Проект предоставляет библиотеку для интеграции поддержки RDP в сторонние приложения и клиент, который может применяться для удалённого подключения к рабочему столу Windows. Исходный код проекта распространяется под открытой лицензией Apache 2.0.

Изменения в FreeRDP 3.0:

• добавлена поддержка аутентификации при помощи смарткарт и реализована полная эмуляция смарткарт;

• предложена новая эталонная реализация клиента, использующая библиотеку SDL2;

• добавлена поддержка методов аутентификации AAD (Azure AD) и AVD (Azure Virtual Desktop);

• реализована возможность использования транспорта на базе WebSocket;

• переписан прокси и предложен новый API модулей;

• переписан код для ведения логов;

• добавлена полная поддержка библиотеки OpenSSL 3;

• добавлены встроенные реализации алгоритмов RC4, MD4 и MD5;

• обновлена поддержка протокола RDP;

• улучшено приложение xfreerdp;

• улучшена работа с буфером обмена;

• добавлена клиентская и серверная поддержка RDSTLS;

• добавлена поддержка каналов перенаправления графики;

• добавлена серверная поддержка канала [MS-RDPEL];

• добавлена поддержка работы с относительными координатами при отслеживании движения мыши;

• для приложения gnome-remote-desktop реализована поддержка звукового кодека Opus;

• в SDL-клиент добавлена поддержка многомониторных конфигураций.

Источник: OpenNET.

​Шрифт для написания и чтения исходного кода Monocraft

Monocraft — моноширинный шрифт, который используется программистами для написания и чтения исходного кода. В моноширинных шрифтах все символы имеют одинаковую ширину — это делает код более читаемым и упорядоченным. 

Шрифт создан разработчиком Идрисом Хассаном и имитирует стиль пользовательского интерфейса Minecraft.  

Шрифт распространяется бесплатно под свободной лицензией SIL Open Font License 1.1. Его можно использовать как для работы внутри редактора кода, так и в коммерческих целях — например на сайте. Скачать Monocraft можно из официального репозитория проекта на GitHub.

Ссылки в текстовых блоках GitHub теперь по умолчанию будут подчёркнутыми. Это гарантирует, что ссылки легко отличить от обычного текста. При желании можно вернуться к старой системе отображения. Компания делает это в рамках продвижения доступности на платформе GitHub.

LofiTray - любая онлайн-трансляция в фоновом режиме в Вашей панели задач!

Для нетерпеливых: инструкция ниже, а так же на гитхабе проекта

Предыстория:

Привет Хабр! На днях я лично столкнулся с проблемой: для комфортной работы люблю включать известный стрим на Lofi girl и работать под фоновую музыку, но каждый раз открывать его в браузере, занимать им лишнюю вкладку и занимать немало ресурсов ради фоновой вкладки.

Так родилась идея для проекта и несколько месяцев не доходили руки. На прошлой неделе меня угораздило приболеть и освободившиеся 3 вечера я посветил LofiTray (tray - так обычной называют значки на панели задач)

Что это такое вообще?

- Это утилита для виндовс. Она позволяет включать/выключать, а также выбирать трансляции с YouTube. Функционал минимальный, покрывающий выполнение конкретной задачи - играть музон на фоне и не более.

А это не вирус?

- Нет, не вирус. Для всеобщего спокойствия, проверил через VirusTotal. Можете проверить установщик/распакованную программу (лежит в папке dist в репозитории), да хоть сам проект с гитхаба.

Как скачать?

- По кнопке в инструкции на ГитХабе. Продублирую эти 2 пункта здесь:

1. Если у Вас не установлен VLC media player, установите его перед загрузкой LofiTray. С помощью API этого плеера программа воспроизводит трансляцию в фоновом режиме

2. Скачайте и запустите установщик LofiTray ?скачать?

В ближайших планах починить отображение ошибок в windows 11. А в дальнейших - добавить полноценное gui-меню, так как уже есть запросы от друзей

Такие вот дела