konik_polanowy

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.05.13.md

Achieving Remote Code Execution in Steam: a journey into the Remote Play protocol - https://blog.thalium.re/posts/achieving-remote-code-execution-in-steam-remote-play/

Windows Local Privilege Escalation Cookbook - https://github.com/nickvourd/Windows-Local-Privilege-Escalation-Cookbook

HijackLoader Updates - https://www.zscaler.com/blogs/security-research/hijackloader-updates

Exploit Archeology - Exploiting an old unknown Server Side Browser - https://blog.ajxchapman.com/posts/2024/05/08/exploit-archeology.html

BPF Memory Forensics with Volatility 3 - https://lolcads.github.io/posts/2023/12/bpf_memory_forensics_with_volatility3/

#informatyka

410 + 1 = 411

Tytuł: Gdy regułą jest brak reguł. Netflix i filozofia przemiany

Autor: Erin Meyer

Kategoria: biznes, finanse

Ocena: 6/10

Książka o zarządzaniu w Netfliksie. Jak to się stało, że ze zwykłej wypożyczalni kaset stali się gigantyczną korporacją rozpoznawalną i z własnymi produkcjami. Są rady, wskazówki i kroki należy wykonać, np. wdrożenie płaskiej decyzyjności. Zamiast łańcucha, gdzie kierownik dostaje z góry wytyczne, czy musi dostać zgodę na cokolwiek w Netfliksie nawet pracownik na zwykłym stanowisku rozporządza wielomilionowymi kontraktami. Podobnie jest z pomysłami i ich realizacją. To nie menadżerowie przejmują pomysły od swoich pracowników, tylko pomysłodawca od początku do końca nim się zajmuje. Wymaga to posiadania, jak to oni nazywają "brylancików" na stanowiskach. Pociąga to też odpowiednią politykę finansową i urlopową. Tej ostatniej nie ma. Czy to książka kierowana do HRu? Raczej nie, kierowana do wszystkich.

Prywatny licznik: 39/200

Wygenerowano za pomocą https://bookmeter.xyz

#bookmeter

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.05.11.md

Say Friend and Enter: Digitally lockpicking an advanced smart lock (Part 1: functional analysis) - https://alephsecurity.com/2024/02/20/kontrol-lux-lock-1/

BleedingTooth: Linux Bluetooth Zero-Click Remote Code Execution - https://google.github.io/security-research/pocs/linux/bleedingtooth/writeup.html

How to Detect a GIFshell Attack: Step-by-Step Guide - https://www.reco.ai/blog/how-to-detect-a-gifshell-attack

TunnelVision (CVE-2024-3661): How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak - https://www.leviathansecurity.com/blog/tunnelvision

Reverse engineering my cable modem and turning it into an SDR - https://stdw.github.io/cm-sdr/

#informatyka

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.05.09.md

Build a Large Language Model (From Scratch) - https://github.com/rasbt/LLMs-from-scratch

Hunting Vulnerable Kernel Drivers - https://blogs.vmware.com/security/2023/10/hunting-vulnerable-kernel-drivers.html

Reversing C++, Qt based applications using Ghidra - https://ktln2.org/reversing-c%2B%2B-qt-applications-using-ghidra/

Analysis of Android settings during a forensic investigation - https://blog.digital-forensics.it/2024/01/analysis-of-android-settings-during.html

Web2 Bugs in Web3 Systems - https://www.netspi.com/blog/technical-blog/blockchain-penetration-testing/web2-bugs-in-web3-systems/

#informatyka

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.05.07.md

Microsoft BitLocker Bypasses are Practical - https://blog.compass-security.com/2024/02/microsoft-bitlocker-bypasses-are-practical/

Pouring Acid Rain - https://www.trellix.com/blogs/research/pouring-acid-rain/

The art of artifact collection and hoarding for the sake of forensic exclusivity… - https://www.hexacorn.com/blog/2024/05/02/the-art-of-artifact-collection-and-hoarding-for-the-sake-of-forensic-exclusivity/

MalpediaFLOSSed - https://danielplohmann.github.io/blog/2024/03/08/malpediaflossed.html

Shadow Credentials: Workstation Takeover Edition - https://www.fortalicesolutions.com/posts/shadow-credentials-workstation-takeover-edition

#informatyka

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.05.05.md

Fun with Kubernetes Authorization Auditing - multiple authz plugins - https://raesene.github.io/blog/2024/04/22/Fun-with-Kubernetes-Authz/

Reverse Engineering Protobuf Definitions From Compiled Binaries - https://arkadiyt.com/2024/03/03/reverse-engineering-protobuf-definitiions-from-compiled-binaries/

Exploiting the NT Kernel in 24H2: New Bugs in Old Code & Side Channels Against KASLR - https://exploits.forsale/24h2-nt-exploit/

Hello: I’m your ADCS server and I want to authenticate against you - https://decoder.cloud/2024/02/26/hello-im-your-adcs-server-and-i-want-to-authenticate-against-you/

5 reasons to strive for better disclosure processes - https://blog.trailofbits.com/2024/04/15/5-reasons-to-strive-for-better-disclosure-processes/

#informatyka

390 + 1 = 391

Tytuł: The Official (ISC)² CISSP CBK Reference

Autor: Aaron Kraus

Kategoria: informatyka

Ocena: 6/10

Książka przygotowująca do zadania certyfikatu CISSP. Czy to robi? Powiedzmy. Chociaż rozjaśnia wiele to trzeba poczytać inne pozycje, żeby wiedzieć co i jak.

Prywatny licznik: 38/200

Wygenerowano za pomocą https://bookmeter.xyz

#bookmeter

389 + 1 = 390

Tytuł: Hełmy Wojska Polskiego i organizacji paramilitarnych 1917-1991

Autor: Jacek Kijak

Kategoria: historia

Ocena: 7/10

Kompleksowa książka o hełmach w Wojsku Polskim. Tradycyjnie zaczyna się od I Wojny Światowej i mieszanki, niemieckich, włoskich, austro-węgierskich i francuskich. Nie dziwi więc fakt rozpoczęcia prac nad własnym hełmem. Łatwe to nie było. Następnie jak sugeruje druga część tytułu, przechodzimy po innych organizacji, np. straż pożarna. Zwraca uwagę spora liczba przeróbek i innych kombinacji na posiadanych już na stanie hełmów. Podobnie sprawa się ma podczas Powstania Warszawskiego. Z hełmami dla sił na Zachodzie to sprawa była prosta. Po wojnie problem rozwiązano tworząc nieśmiertelny do naszych czasów wz.67. Chociaż dla MO gdzieniegdzie do lat 50 można było znaleźć hełmy wz.31, czy poniemieckie. Całość kończy informacja o zmierzchu stalowych hełmów na rzecz kevlarowych.

Prywatny licznik: 37/200

Wygenerowano za pomocą https://bookmeter.xyz

#bookmeter

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.05.03.md

How 18-Year-Old Me Discovered a VirtualBox VM Escape Vulnerability - https://j0nathanj.github.io/Dusting-off-the-VM-Escape

A Deep dive into (implicit) Thread Local Storage - https://chao-tic.github.io/blog/2018/12/25/tls

Shellcode: Data Masking - https://modexp.wordpress.com/2022/07/31/shellcode-data-masking/

ASLRn’t: How memory alignment broke library ASLR - https://zolutal.github.io/aslrnt/

DJI Mavic 3 Drone Research Part 1: Firmware Analysis - https://www.nozominetworks.com/blog/dji-mavic-3-drone-research-part-1-firmware-analysis

#informatyka

388 + 1 = 389

Tytuł: Sid Meier przedstawia: Wspomnienia!

Autor: Sid Meier

Kategoria: autobiografia

Ocena: 7/10

Jeszcze jedna tura lub Ostatnia tura. To wspólne hasło wszystkich osób grających kiedykolwiek w Civilization. Ta przewija się dopiero od połowy książki Sida. Jest to autobiografia, chociaż dodałbym do tego hasła spod znaku historii tworzenia gier spod znaku 4X, pierwszych komputerów i budowania community. Styl pisania jest lekki i przyjemny, ale główny ciężar jest skierowany na pierwsze lata tworzenia gier. Gdzieniegdzie przewijają się fakty z życia Sida i firm gdzie pracował/tworzył, obok ważnych dla mnie informacji w postaci, dlaczego w Civ V zabrakło wydarzeń losowych i styl prowadzenia wojen był dość ubogi. Co ciekawe, odpowiedź nie jest taka oczywista. Sporym plusem jest zasięg książki, gdyż traktuje ona tak do 2020 roku i zahacza o gry mobilne. Oczywiście jest pełne wyjaśnienie, o co chodzi tak naprawdę z nuklearnym Gandhim.

Prywatny licznik: 36/200

Wygenerowano za pomocą https://bookmeter.xyz

#bookmeter

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.05.01.md

Mind the Patch Gap: Exploiting an io_uring Vulnerability in Ubuntu - https://blog.exodusintel.com/2024/03/27/mind-the-patch-gap-exploiting-an-io_uring-vulnerability-in-ubuntu/

Protecting the Phoenix: Unveiling Critical Vulnerabilities in Phoenix Contact HMI – Part 1 - https://www.nozominetworks.com/blog/14-vulnerabilities-discovered-in-phoenix-contact-hmis

Bypassing EDRs With EDR-Preloading - https://malwaretech.com/2024/02/bypassing-edrs-with-edr-preload.html

Your NVMe Had Been Syz’ed: Fuzzing NVMe-oF/TCP Driver for Linux with Syzkaller - https://www.cyberark.com/resources/threat-research-blog/your-nvme-had-been-syzed-fuzzing-nvme-of-tcp-driver-for-linux-with-syzkaller

Nightmare: One Byte to ROP // Deep Dive Edition - https://hackmd.io/@pepsipu/ry-SK44pt?s=09

#informatyka

381 + 1 = 382

Tytuł: Byczyna 1588

Autor: Ryszard Dzieszyński

Kategoria: historia

Ocena: 5/10

Książka trochę robiona na siłę, gdzie jest miks biografii Zygmunta III Wazy, Jana Zamoyskiego oraz Maksymilian Habsburga i mało znanych osób z innymi publikacjami, które traktują ten okres. Kuleje też bibliografia, gdzie autor chętnie korzysta z Polskiego Słownika Biograficznego, ale brak info, skąd są dialogi. Generalnie tak średnio się to czyta, można to traktować jako wstęp do wstępu dla kogoś, kto chce zapoznać się z elekcją Zygmunta III Wazy.

Prywatny licznik: 35/200

Wygenerowano za pomocą https://bookmeter.xyz

#bookmeter

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.04.29.md

Docker Security – Step-by-Step Hardening (Docker Hardening) - https://reynardsec.com/en/docker-platform-security-step-by-step-hardening/

Extracting Secure Onboard Communication (SecOC) keys from a 2021 Toyota RAV4 Prime - https://icanhack.nl/blog/secoc-key-extraction/

Awaiting the Awaitables - Building the AwaitFuscator - https://blog.washi.dev/posts/awaitfuscator/

The Hunt for Initial Access - https://www.blackhillsinfosec.com/rogue-rdp-revisiting-initial-access-methods/

Lateral Movement – NTLM Relay Attacks - https://juggernaut-sec.com/ntlm-relay-attacks/

#informatyka

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.04.27.md

Rooting the FiiO M6 - Part 1 - Using the "World's Worst Fuzzer" To Find A Kernel Bug - https://stigward.github.io/posts/fiio-m6-kernel-bug/

A Look Into LockBit – PART 1 - https://research.kudelskisecurity.com/2024/04/22/look-a-bit-into-lockbit-part-1/

The only PowerShell Command you will ever need to find out who did what in Active Directory - https://evotec.pl/the-only-powershell-command-you-will-ever-need-to-find-out-who-did-what-in-active-directory/

MXNet Unsafe Pointer Usage - https://blog.huntr.com/mxnet-unsafe-pointer-usage

There’s A Hole In Your SoC: Glitching The MediaTek BootROM - https://research.nccgroup.com/2020/10/15/theres-a-hole-in-your-soc-glitching-the-mediatek-bootrom/

#informatyka

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.04.25.md

Google Chrome V8 CVE-2024-0517 Out-of-Bounds Write Code Execution - https://blog.exodusintel.com/2024/01/19/google-chrome-v8-cve-2024-0517-out-of-bounds-write-code-execution/

Increase your stealth capabilities - part 1 - https://sokarepo.github.io/redteam/2024/01/04/increase-your-stealth-capabilities-part1.html

Tool to find common vulnerabilities in cryptographic public keys - https://github.com/badkeys/badkeys

Advanced CyberChef Techniques for Configuration Extraction - Detailed Walkthrough and Examples - https://www.embeeresearch.io/advanced-cyberchef-operations-netsupport/

The SNES Cartridge, Briefly Explained - https://mousebitelabs.com/2019/05/18/custom-pcb-explanation/

#informatyka

361 + 1 = 362

Tytuł: Mińsk 1919

Autor: Lech Wyszczelski

Kategoria: historia

Ocena: 6/10

Tym razem książka, gdzie jest więcej backgroundu niż tego, co jest zawarte w tytule. Ja rozumiem, żeby zbudować całokształt obrazu dla czytelnika, ale to już jest lekka przesada. Zanim "zdobędziemy" Mińsk w ramach "małej wojny" 1919 roku to po drodze musimy zmierzyć się w Kresach Północno-Wschodnich i Wilnie. Pomiędzy tym jest wątek wizji Piłsudskiego na wojnę z Rosją i relacje z krajmy ościennymi do Polski. Także też na wojnę domową, gdzie biali i czerwoni to było dla niego to samo, zagrożenie dla kraju.

Prywatny licznik: 34/200

Wygenerowano za pomocą https://bookmeter.xyz

#bookmeter

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.04.23.md

Learning Async Rust With Entirely Too Many Web Servers - https://ibraheem.ca/posts/too-many-web-servers/

SCCM / MECM LAB - Part 0x1 - Recon and PXE - https://mayfly277.github.io/posts/SCCM-LAB-part0x1/

EvilGophish’s Approach to Advanced Bot Detection with Cloudflare Turnstile - https://fin3ss3g0d.net/index.php/2024/04/08/evilgophishs-approach-to-advanced-bot-detection-with-cloudflare-turnstile/

Let's analyze NOBELIUM APT29 – Part 1 - https://blu3eye.gitbook.io/malware-insight/nobelium

Pentest Diaries: Complete Takeover of Firebase Database in Web Application - https://njmulsqb.github.io/2024/04/19/Complete-Takeover-Firebase.html

#informatyka

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.04.21.md

Attacking JS engines: Fundamentals for understanding memory corruption crashes - https://sidechannel.blog/en/attacking-js-engines/

Reversing UK mobile rail tickets - https://eta.st/2023/01/31/rail-tickets.html

Hardware Hacking to Bypass BIOS Passwords - https://cybercx.co.nz/blog/bypassing-bios-password/

Open RAN: Attacks against mobile operators from the outside in practice - https://penthertz.com/blog/OpenRAN-New-classes-of-attack-against-mobile-operators-from-the-outside.html

A Two-part Saga: Continuing The Journey Of Hacking Malware C2S - Vangelis Stykas - https://www.youtube.com/watch?v=8Vh2skWU4CY

#informatyka

348 + 1 = 349

Tytuł: Ciechanów 1920

Autor: Lech Wyszczelski

Kategoria: historia

Ocena: 7/10

Kolejny "HBek" z tych innych, nieszablonowych. Ten z powodu regionalizmu i to podwójnego. Po pierwsze autor jest z ziemi ciechanowskiej, a po drugie to wyjaśnienie, o co chodziło ze zniszczeniem rosyjskiej radiostacji. Miało się przełożyć na fiasko natarcia na Warszawę. Szkopuł w tym, że natarcia miało nie być, a zdobyć chciano jedynie Pragę (dzielnicę Warszawy) i to obejściem na linii Włocławek - Płock. Tak, żeby odciąć nas od wybrzeża. Autor uwzględnił też kwestię jeńców wojennych po jednej jak i po drugiej stronie. Zabrakło opisu uzbrojenia, ale z racji małej ilości prywaty i samochwał to można wybaczyć. Zwłaszcza, że to nie pierwsza jego pozycja o wojnie polsko-bolszewickiej.

Prywatny licznik: 33/200

Wygenerowano za pomocą https://bookmeter.xyz

#bookmeter

Link on Github --> https://github.com/Nieuport/news-and-links/blob/gh-pages/docs/2024.04.19.md

Shell We Assemble? - https://redops.at/en/blog/shell-we-assemble-unleashing-x86-inline-assembly-for-shellcode-execution

SteganoAmor campaign: TA558 mass-attacking companies and public institutions all around the world - https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/steganoamor-campaign-ta558-mass-attacking-companies-and-public-institutions-all-around-the-world/

Learning Async Rust With Entirely Too Many Web Servers - https://ibraheem.ca/posts/too-many-web-servers/

Satellite Hacking Demystified - https://redteamrecipe.com/satellite-hacking-demystified

IBM QRadar - When The Attacker Controls Your Security Stack (CVE-2022-26377) - https://labs.watchtowr.com/ibm-qradar-when-the-attacker-controls-your-security-stack/

#informatyka