From 324e6800ba57d13856cf8d67dcb3f846a1a1ec4b Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Wed, 25 Jun 2025 00:23:26 +0000
Subject: [PATCH] Translated
 ['src/pentesting-ci-cd/github-security/abusing-github-actions

---
 src/images/CH_logo_ads.png                    | Bin 0 -> 27107 bytes
 .../abusing-github-actions/README.md          | 119 ++++++++++++------
 2 files changed, 80 insertions(+), 39 deletions(-)
 create mode 100644 src/images/CH_logo_ads.png

diff --git a/src/images/CH_logo_ads.png b/src/images/CH_logo_ads.png
new file mode 100644
index 0000000000000000000000000000000000000000..b407c8929d67e14a8e254ad9bc76ac1e9f8525f7
GIT binary patch
literal 27107
zcmaI7byyrhvp2eE2u^~#1b3Ik36S9KuEA|_cMA{#1PBfR5?q55+}+&*EV@8&zr%aZ
z`M&$dJ(uTU7-qVvtE;QKs;hnzt)e80fl7=D0)a3-et5420>NFp{GuQOPlo5#V}L(I
z5NREVx|0>e)6~@xBw^uXW=Z+c!PMGP&C=Au+hx#F7z9FKw9(Lk=qM@(nL9bKnZC4P
z^Kx(os6ilMF)wFRb3022rJ1F*jiU(lNy{H<N*fCiYHeOc4n=1v%TG2Rd|WNneUvoJ
zeeBEyEvUsrDTTd+00s`05K~Go2YW|1Aukc?|L_$8?q43WQ&aw@3B*o>`oDzIQB<Ln
za&on#6lCLMHRs^qq~r(gc=)&k1O@r|`B^BrIJmgkIr!MQcv-o)g?RaeIC&`l`-d9n
z(bd9ANbSAMfA<IcCqn%R0&x~%XZQ5<Wb@=^b8@w2=M)qaWar>w=i*`oTClo#J3>so
zSRLJH{)fYROE+^@8)t}(lOyE|M^iH=cZdizAnkt*!@>Fguyu6%Z&d+GWA`$3X6Iz%
zcp29JG*ndl|8MHx@PAsnLDVe&ue|@CjNLT6oh{kbEZv;kUCn{Xv!Z$F%2`Ot)zTE=
z<f`H1WdA>!RQcotadP|Q<V?xM%f?B`plE7t<M{G~@joPrib5Y9-5{op=9VAdi%<hh
z*lcVpgt&P5IHkB{1o?R+1vxpTr6pygWCXal`6T!`d1NHH1pkNjy_31SgQX+ne`qcK
zFRjG?O8a6F4$eT&?=4+zJS;6_T%8;!|1)YKoBv%F{{NNVf74q0@3IK|ue9udFzhdL
z`~RBj|9J!$(97-rv0mVx|6~7_j)2j-0@i&`@-G_%vQqi@UP8lb=_u=!7ry3PKNeM6
zB#$I~n9`nNNmL_KOj|>J;FY`Xs(ZDk284BQX?`t5lK@Xb<^B7Z3w#trNmQyIiEBwG
z+4q=lD8HmPjEy`#XG4YGat60r!!n;U^~d%nrlurcmS7cMfHU07jl`>$D<av;6&vz$
z6`y!{fg<#BPr3JU4a!9TuDN(mKJCAxA~8>KL84}ITaW;y&@d$1K4VW@{9KXlfTbMI
znWIzdhmIWH*LK23&-^x8>}9(5&lpQNvo?WaTKs=ZtY~1!pmqsmoJP#%_SYepK`qik
z3I@%nhiojmI{8(Irdi>=X!27PoIb{_Z6LJA0MqcUfAxn(ruSiZD8p}m>+8g0KQpaZ
zzR0y8Q6=cBgf}Ov!*1GEZ>K$KW)BNd!}l2F3P1j2sVjL(!Xft}xe47SCP6BXDFQD^
z?xQEakn0_Zz{dWAz3G0}Z<OUS-Dd1NxyDy7<ITo*8Y_!zs4?A6<9Y=PEk2rmtzTd`
zkD53htPf}i5Vv-VjGoOrEbc9z-rG|FuReO*>MAsSM*H+CJjw0Y4SbM9WG;epqt`i`
zOEy!^JNs6;?Y0df_3p!e%wdmo_SIFalG_=Z|JAG>v9;ivi}K9-2gI6ZI^LG<jMIS0
z9{<;ZMF$!G&FMbcOW8$Gvv#m6e-lr?yZ<oY&2RAqEXftmE?Q6sro^i`+*1`7LFtA4
z?@`x5+R0V~Xf0JIy4&F$+TAY=g1n_OJu`EtjucGk6ASW*L6PdkmM80|_exRsj*W=G
zM4z@rVd1BqhZ$1ZqX@%inuJz8qu$F!-ODs0yu8hhO2AD;<E1)zl>p+ei3>Meu&08R
zZejvf)A2|>HalN|?U7!UeTs4l-<k+B=c9t{JHG;SzR?<0{0TllP_U#1Zi9KwX6q>$
z``X|?JU<!tg!b<Ena(Ggo0A|@aA+FP_D3`~g!?o0wBfVC0Varv_iyrhlra+vDmff}
z?q_Zf(-Ra^<JX?R6shR;(Dd$%cRAwlp#U$flB%@B{TX`NNMV5O=Ei)%ntq=--`Bl~
zV?xvT$Xr?fhbhdTYz2;TuOptCTs*$OYI<Pu0TI;FJ!)>1_!q?h;Xm&VB*~fC_)%LF
zb-0A#ao;H~40o+zcNw9-^jP)%%QZnNILwfd1(6&s$TrNM^2nR&NdG@Nup)5HR?1;J
zGU!U=1}%La?P|y8Q%AW+eHmzQ`uogR1GtI<%3-pgiP7=zRpX(|fEC^74UFSlVds4%
z0abK>w<vI~#He7b|Ir$XAPC#zKPL3wcdtAM&eeN%UYizdV1Qctm`txxRgFQ~;uBPR
z9hy`WrLS)-ybwS+)gRto?KmU7Sm<X|Z!s6|7}EZ65NJ0jp=Fgd%%8*n4lv8mt1#hs
zQoC&fyEYnO_@Mny)Uq^bvSC#Oon+V$6d?hFfzY0v$}Sj99XnD7s`LF^e|X!wur^Fs
zP_EPjT<op)*1yau4WPT>MA{=IssrOrJb<pbS#s=hu8Cyk*C{gS8}yawv<f{rV42$T
z12jE560UVz7(ue2Dh!Mz`MUzi1?CM*6d}abHM4-~s}9cyeoz&wZ@vAaTO&L`(~$F}
zIA)l+ODU2cq!MuwzRDCPf>!a;eL4H~)0S&-Rpe{`K{%B};^W&uB@|zp6<}Qa<&3)q
zMVAhyp_>?>Wb1;e!?2%~A<V#x3rUhI#BXtU;>2`=K$u<9HrZ6Ns^9e*5kfFWSa%J4
z9}P_(0kw9hZcJ6r=kf_7lBMx8L+P0Oa7VGo;Xrj#wN(URtC9AAR!3-dyL)$}Oc8+g
zK@z`F?rX6x>t7Upqcq^{@7G)<8+O}G0|L=+uAa1>SQTMk(Y<uj%Dmgwvx8vz_k}Fu
zMsYz?a)x^o_3*XOoE{){YV5F3lpv^M^fPoJzn9R2^Glw-`~c9=dRGOY8W8!eh-o0s
zq7SWsX&gFPh$9&%G|nmK^&x^22-NyMqDsEnbc{G8p3&1T>egYahSUrbbjsx~c=d@B
zC5_Z#Zx`P++bmFO!4jC6j($JtBN>Ix41TG|+zjoJTZLPDQ=69;?|z`Qs6^f2H+K2G
zuyTtLwBBZ>+694<Iyr3$@e6_m#UmWqsGyRZ%1H&Qj37{2IyCI@ZTP2=q&%sKQJUSX
zf$G@D7c(@$!T(}T;P)D^wpW;(6x3|SXoqlss4RVKrce~sbrkIzt%>Rgm@lVT0_hI^
zOCQW#)pqIl!$DZVx%XNlP1Qqz;o+SmAP`zN=g}WM1q4xebyz#jKXDgt#fAD8X{}mm
zj&^U6xDPi`uY-9ZfV55l_i798Ub<JuM*~x2>`?A`;JX>weV2`Q1wvI5>qg868_5~Z
zPP{c7NLik*@`&u$0&;K<DJU17^zfTaHI^3~O0#Fr1COhM1Z@Y<dH9Fzh2mcE4O5OC
znD>jyS4?^-)<6~5*b@pks&Tl)b00Qw;_Y<2XpoTjRZUE|!^8Lz{{*5TMUt|t?3}E#
zJO$Q1G*`?e5R+iFchAp3aGzI$ZA-vv{%tuo&t$(!rgBP3AAZ$zxs)@U7e^qsUL&O1
zypuIg_1r*(b`Uq8^ggh;Cc7eSq`iO7ry>c}i;@3XuyBK*rOcUiz`)cTOdVeBbq|k!
z`|lA>gRZRZT~rJjLO9Y#<|Tsn_gBd3(%v9P>IsC@7=L8Ppj`cr1B<5IVXFvEL7|JT
zXzu%Zij1q_?xjUPl8Fy8HKd{qZT;!yV7QMVBAs>oVqyQ>q!{?Y$*!J}Q`wm+f@mOd
z=4@P#9PBH6V2wI@a6*xp+0j~Fuc@RC{6v;JHvA~!qd912TPb(I61F_9TuwN*vJ!lS
znm0a#UR*}DS;x$+U^G1ZWs-U9u**@(oB*Xcy*CrBua*7ijh7S|JbXsDv$k4J9jZ;+
zeX6>jBpIn2I_fpjWPEvIors9!5*yVG#-&cFHoBvXJ09wU_{1pFZf$rLlG6go8f1>Y
zJaZ}{c`~Tea;DU{aHR@4Gm?MJ(h;qgm85{dUkcaqhwPA|Z^xA%&5>jju<t0Ck>|HL
zNRBw5C@0l^!Xi_Z3za=0(Df2@KZ@EBQ=Xcck+6Uz*10J1lpDXL>CG-a33iZvG^09r
zS?sIxX5>t4>!=y%P79GyKaq(83>f1`)fJ><V5zb_K_?qD5E3of=>xp#x~pr#k`Ch5
zRh@T73RDNPFFS=9rU4!2uWx-yEcvQ`V=VFGO`YaCWVn2d>sh{iV~;Kfc`y+`%EtsY
zYN-)T`X)QxIFY;$sNN0an$A&3gKKzn;r_SmF3G8HQ6t4?sP?cSQf6azyXz7o<sa=0
z$Q08IKD<?8NtPW7^539wkq?Y7E{xs!)yRN?SzYl{x%WFTcoMVt)g%0{;evR<_B1->
zMR}XhVU8@v`wiLTcFq|5(GvycfVdP(hv32vm?w%*4=E`s1$%~{9$Z|8#s?~@pQd@#
zyu4&Ki(6iLJnX9EkqFrCK&wpSGcju1I8G6kmAA@kvc;K+3GOb=D6MPl8!hkjYB(fN
zML0zKNN-Rzl0$P_)JGQKD&Gt>egD4gILmXnA_95%c#pX+fZVa^Jo()?P%gL0*fX!y
z-u?%-paI<#{;b`f!%5q^i<y4(s3yTp&(S;@d7A@oZytySBPl$jliiO#Cz0LZv4rsZ
zy(U+=F_{$WPXY@WfvayQEd&+f5inbic>JGqVc=93x_~+9rW!XQP(>HnR{Jfrv=wX*
z+gdK!u`PztbH4XM&&8W$JaLe#^p~&A!L9ed8zK-aBB5pUkt-d4?D(_Kzumt=R0k(7
zzE`Ff*e#A~dTPQxhCS5PUQeVG?5e)EKp=$|RsvR^KNy_8JGu{V%8z9bddos}a83!#
zSDTrrngKo<TKD;1{jM&Oox7Xl+H<Py4(l$_lR(40`^pv-P1>~+MG%Ey`n&i3ynr`f
z%TBw-PTlExbGmX9-;ryTo|xnB!WKrFCbIzb%ckbOx)Zu^yyise>U*uajs%zvh2jV}
zdYH@9|E%=}*->8Twyq7biMNRRHrD4&hhH-OtEr=e=E;2TEXxe-4Q?(TRrX-OyJ8Wz
zRlr||R(<qR^6MU`riJWafEgJJk;gzq^kV#BqF%N1<wk3-$4<#wd3;JxXSba(R|zX6
zM*I=@KQ!GHW$~DNAj*VeLHOhKbe=d`XDNl-cI~6QNQmr}^-=Gr9TS*`07`HU8=JDJ
zfLH3zJ>=$#?<|77@dsTUON(y@8E=%=6$@(~;hdwcoAfRAxi!ZpQV1YayU^(2z+3aJ
z^i#}MrGTOITgaJa%MP0d=m`EK<oV$dR=2VIuB_5m_XLPu-#;>=H0Ot~_4q|KKFA1U
z@ABUL(42^y{#{^$TE)A9xErVI|H;<}F>|x`n$gw%>oSUjw!%a`*>P#uWry2_x4_#!
zN6jok-nODe^TEW71t{e!i^tQRYAyk*zNehORXtX2F(t&B)7%#6D|jGWeSe@tzLGeG
zo_2K7y&HtYDhV}H;y(8&Ms*LV0s`G&7Hp5^RlN$c)cZ+qVl$X`et3{^pf6oqwhE#(
z$a0fl5e$<rPNDCc)MvlUe=H1kj<FV$jy((1J`QD0&5J#H;BvVoG+(QArmwS;)*>el
zR&)Z9=GJuOtl=yQc|s7#p{|LAf%$3?70J11oD`I7%&#*xgk>x=5LP)HS_Xz<H_<`y
zT|<S{7rSMm8b%Q`j^ttdgK_xz?MNYx+!6$4<Q380#C=WHgq%fTj_u~)xgod-xXSWB
zR|XV%wQo{(g+DaY9i%X!G|Q18uLY&~B0K(Y?KbwDxRB+S8iAX5Eyg@evCNV~77!66
z`(fJb&l`rs7qR(VZu$Fu-|v6dlMZZgVlIS~MsS0izpfmq_?XHB4h?qM=0@Jc4on&U
z_Kk4#1>_LTBt2HCuAdpr^sy2(be~p2MS1T57gWkKb3b`sdHsW;T``1v1xuMM9xuNg
zKg3a0Vt#IP9_29f>_{|3>ib?1`1kb9$8cw4kmGJc@7cxOx&P1KMKqb4MvbcnA4)5V
z%`sLvM=?1)X&6^a_oGwiBu3y)u^;TuxckP5otgaycjYU8k4{K?1T;1Jg>fE<(kZav
zrh6kJnId3;$crn+lr0YYZT9oM1iIS{sA?d?v(%~{Lxxe_>@K?W=om4pK{>{;W!(W+
z(oKL2Mpk14j2DB;zh+iG)1f$q6t6_SRviz^%`hJE-n5CXav^M}=uTNHT5U;*_{<Q_
z4LZdknd_M-qrV%LbL(JrP91$)rg368%X_hp?RNcTC1rkiUJ?+P^8tO#%O%T?E?A$i
z(k8sTN;9H@O!cp=vsavZVrTdDG}(3W@b6*}$gRUcC&yPfj;}l}g4-Z6boo;$sinH@
zi@;TlW%zuczcai_qBJ=bEv!jG9`?c9APyo$MY6r)RNu+26KA7U4CgFQ(IG9nR}u}=
z$@g!u-R3v0`PLr#3K@WSE$wXp-!0LObv?q>U=ylcANq2SGuUE}8ce~=CjYT~>B6yh
z{ZF`KJ9jAElMO{CT#)q5PCug0V^jOg0*a+4oM<Fi!eW28JUdU{Xrlg?hiLvB*54^X
z$!_BPu~$<&%|I-yXKz5FI4<%{W>#}SXd8Zcz$JOKPW_}rp-Bvp(~}%#{M4aN0*Io6
z8{lzEv};WypeUv&&k|S24N1&OpqBlMhb!U{vd}2heDX_C02Lt!V_^7oA(1Cm{#HJv
zK)2wHf)Ky6uH`KHY7MYiWI|IL&xTAsOZ|nw)TFRRRzA4Ab_eE>FYl8vwg{g;$MNc0
zcx!=v8B?0DpBb>$iq+zkldv?ftZRd<&t5tPwj0PES#0{j{+t^#)2yn9^;^$ZqUM1y
z^+A^a?8-dk{keh|a=@Gr=azw!4xT04#m|A6TF>xKqP|}^eBu`Sx&sq!-OSi-z%d}#
z;f4rmot5Kll7_8l&JwwUXlMZ?h#lT1bOX8py<e5etgwkIteQz~adr-Cv_Luhd{#tZ
zr0lzGOhUQaVd=%xP(>N_P$w5c27ZGS$zx;8udd=;`{1NO%rh_IyGJ3#zz)V8<LEOo
z^@kFSlyP*k7s!^DYejEJL^W}G@!vlxQ*$@Ccd%jQZgq(>EfFZtN(ZZ{+}gV;*tab|
z#bqsb?-w-q>^Y*o!CiU3xfzGc#KO}0k?%G-%KpnAb$dTD_ZU2UZT5;wTs-xJjJ-{T
zEb|T;PmE5OXXvK-bY{z!ycRL=2|F7}7?Mfme&~3**xiHAkyQg+Z@5Hq4hi)*F%%j;
zP${Txg;QAycHJo}2t+fyfUZK;ECtz~mx17<Kv(&ym<}t2U}rtWSUBmc-A{RKQ^wh?
zLp@yzIQD#4XhNNcSHDW8IzKX22Nkvax@|c6s$7Vuv4K+W&D1OHIG>wE3<hFziK}Cb
zqVfzH8(*JyFVP~fJ(ZNYS9rYPKihzLk9|!clDU3%Amp97w`#$#z7V<BP)k_DJX|c6
zw7TjLya_+u{DYPEk84{R`9=ce4i}~QzUM*M<@U{AISPY}EP08mBmLLbI#fuXP76j4
z^FJM*WPN%(AWZjfi3OaW&t(A~7aAX`_4f6OXr{*r&-`TZUYZXv$B)m*=&VWFt#!oa
z)-nPj9@i!_0sMWpk~4ooa$DGTg~fWN$$k;4A9ov0!vg%?+Scle_wbj+7g_%4nJ%%c
z)=)ogI_OOhZVA4_V&Z;qGxnRvvI<-ny=dR&z3J?}nvUY6<?)03^2<Z&k05Clc7LXX
z*i0*bt9p{0@&6rQld9+v7@l?*y57==#MHC0vN$=8_GW)R=grTODR6?ZYTg;II@^bT
zv-F0no6~@|yK`3!;mM9B6o814@we;fDbOp7Hz4&#WxOx*+DQ+X2|;-6V}j9axbR1z
z9L{PC*kZ})*}ylnq<??;v$e3rj<vme70*GGg7<WBjul;}gVMy#<hcqqe~Uq;S#p1$
z@m*-*aXMl!>sYIAyi(fgh(7DLwt>8Jas@{FQyH`WKfZsoZ71<vKCvuqC`8R}!ib#n
zublis(lTO!V+W6u5`o^GoAB)Xt(7_v1;rt_YGq>F@7cX(r#I8a5hh-m>iM<r5JsP+
zC0?A98p&5szLC~hOp70oifCP@oLuy=fkuiyJIgI_X*6u^=W*Ax^>q{rI#JZg=8;G5
zSAn~yKtl#|`5)tfIk6Q>iUdZ9<@fjAk&o+6r2Dl5*vfCQ7Zi#IQr8VK1D$xSavGh!
zz=#n_TI3hR6APWV%_AIli?0}?yzfsj*TEDYBGc{(MbX9<Z|dx12f3H6u+M?RnGkf#
zKuYYq56$16c^94HPX-X+t_F-U+-*I=lqg=+y(I<1TE)nUks!_T({vVl$TjEHTQ%tB
z(1kEro~gI&<%K;z^aQ$PopndOsY!C46~C4(SkaOD`4p^B7Nr{F(@hMIU#K5Exy&}(
zIS&4qd>fNOF>D|WYyX3p<SQ!P^7*aqovX#(o!6Vcg;^xfdC6(mDk|r7-j~1!Ev)9_
zlE0s>WLFjFcaxMDIo|D(_K0~E6uVw0GM|dv?}5JGZiwshX<IhxQS{@+v*sFRi$_$j
zgT<r`0y?||`2yQb39{Tx*+@4LsGhAnP)9S8ESC25D$<`G0<}n(GKSQT#R4ilG7u~H
z16Li=Uk(Y$SKXQHYI_CG7aiSeqQx;R{=w;75cSv1*ltgeTBs!9)vgf0cmMda)`k~<
zO6_OmHwI;Nt<6}RH*~u7Mb7fF4ThbJe@IB?ZFeDG>}-6Cx(~z->K{HO)rfkX{d%f{
zs0t%@SL@Q+*I~O?3JYop|MtM_d06-Xsl@N3Lx?|pV=(FPl*v{z5Q8^|KaHF^xbM++
ziV5YnzKlp~2r0cjUcyld4CF9eG}<CHZ`^i*Io277AQ$kA-Yv2G`C`KbVFer0*c0}B
zTz1wUp*PZtT>WX}O+u&l&m7+W%BbW>%@V2c=w!OGB5&LAuD`$GSuqc5t>eO0{}iX;
zxy3&+ZxIvR8D{`%^Cz60+j!T(sY7oc#$N*|b%+7KGFw~IKlg}gBG@=@d~UT2TRC&U
z<4nbxpcRbhX{~$r#VT+Dga3g6V5OaN%zWQbDiGRP9bt|sK-bN4%!O2h4M-P=V*YpU
zB@Bzp(Lj;)!e%S^cT`|g^EQQDuC5vW`i<C$nt2Mm7~sw@YAQW8+un|g@a2xSpL;}_
zWA>9fE09m|pohdCwfZ*~X-#VKABWKhBfdHqUprLtT;uqv#THk)ZQZy#rywX@mRg=c
zZOQ#MHz7sde19^qWKlNL9IKzw<cVb!3b1%sKt$%9UWYB)GUy;YKKvHQhBZ3k`ro?n
z3-;PdH!=)yAdG4^_TB0~!{RcWzL4ny-WluL>Z(S_3zvB5jXhl<M8j!_1ymMld*+cj
zg>kqGE2^SQ%We(C9`(r=!y`b_y>fH@(sr<`ASG4{oFj%=8Pmcu%Q$>C;`6?dbB}d!
z?%9sKA?KDS7~IE25t@X24*yNWS@hmR6#;NFHZG=w*+$0KzMpr*#=TQ5fy6}?>;xL)
z(b@{iET$AoBTwVgXvZx<?9az3kmmr!kFCm~HG35h(Xi2*k&?b{@M<LjE3C>{$sn$t
zr*2+sW{B8N28GGHXS<tb=jGf2hnt!Yn9dku6BHSuI!y|XyWoa`$D>I>)oC6}?w4_G
zM%XM*u1zYQF5LiOa&jDfqfUfj<K1o+E_QC9VNz@u%R>b>au^BsB@p|3-3ihRHh<Gk
zXQHHdo}L@apAKYG*<jC!&a5_&Kv%5R#OU$lz-!Bz^07DPbOJ_SIlFwf3M2S?;I2D+
zwX=Opa@Ay)1o(a#ojeg{mfB>v65Ww?VH;x7=(WNb``XcwZrW<CZOG=dXE5<|91mht
z&szU|n$=#lw-25Ao|5&c`+yJ~UAdLVF*cVV=csaK_)Y)MPa~ASrC%v7&)`7Lkl!-1
zX>YAj3|=-^4~arMylc3+Ee7Q({y6qif_IKYBAAf*cs;(zV|KWe>EV}Zyf%ziB`p=t
zF!*JY$whP**Cpw^j%9iDTAIg45{Gp2op9k;ImJnvf1^W!<ypiJwC7BRJ?q`T>F|GU
zXN}(9n~Z6v$Hm?;oqG#vxs1TeV&~grJ|Y>mHl1RAU3MPFlD;zQ(`cDaKE}$WhmpLy
z7dW5fX>lE#ZQ0S8L_7JE^9baFd}D!ypLoxw5p4b~@$4sdgN>f`J^G`h>0sk}r0cD_
z?!qkWT`Qm8{3wn6ADNMIVPzrz%DkLSR4;*|T@hju@Pu1Jv2Ols1$ZOPJw3{B1LZ4k
zd2L&+a(A0(a=XpWMe#2NN^@KzlBb(;axQM|JW^;1{}HvA*rWbs)8a_$vwNrb85a;a
zT}-JzrtD96)I=HjPcb?FRm^oa!n<IMo^I+nBwT@pp2qKx6dmVcE}S^Ae8NYXlzJwV
zd%hQzj_wdVYE&cUs+pM>KV=IXBMiRQZD5kA_*Dw(uOKOQNUcUE?IKh>x6jC1kMZ?m
zD9%i0FIEc<_-!AR@9RjSv^+hlQ@UODFhug1Ono^WM@gQb*SzWmJ6ohiovOgRlk*6-
zPS+t;-=1-AOOaO1fUWyc<bwtT!O(BkQJ@QydFec;xQ1Aa+Ul4+wW<@EjkVUp$!pwQ
zOT#WUt;~k;3)IgQZ?l2THeWaHL3EcB9{%@<e0$2Srb<eK-XQw0xA<<_xAK?fG0VFj
zgQxQA2Rm8YEXb!KnR(++Dsff<q{9M5!BQwM)FA<Auww}|U+t;w>8marp^fj0*UBVC
z+qnN0382J7K3-y-{Z7{%xtuu0f#32KTJ+*=NSA}0>c*KvL}^{_KDiKu-TPp}SU<-(
zA1AeQ4$Xy|#UrK83IFvoU!D2(kVctN1v>BGmaF_TAsaoKK{`Fb|A>NYL;NWN{ZVLT
zI`lKCz9d3KawpDl)u#aJm$=Sy?1FquTKl*tcY|(qecbN%3OQaH78~EoMno&h+|L*9
zvVmPu9}cY4Bomh=-0NvLiervub6wu;x-)%|y?W>!Q*GX!bMudxiET!thybfi&yN~9
z*q`An)NTk(rJIN|1O@vx374r1ifr<BxG&DbO(WxxD>-SSO)%oKE&uKEiyBv4Oa~f%
z%L~%cpH6Il_`!_)C3-W)Kc}s<4;{5%;0Q-3j6o5Nm3=SGaUKQTwg|0qAc7`d(mh3N
zw9%U5@v3$STHNHi;qo_*w{7FEACty#t&mv2db(@v?84uU>UeYV(`<YnjfvuSO3>uZ
zcPp~5inH1x&CFCQ+gRmd5%xR5ksFOE-?B&+IR>X2*GFW05t%zkw!H*DA_>g7j35L$
zf1P-rpd{iWBn7Q^JKCY^CsGs*L5#OJ$;PJIm13l4R`51PC)2d`>fU}9l~1fC=^%E_
z3M$W-@p9Qoi_{|t?9khr+_KHazZiDGB2y4yPoSn&mEL#05m-V9Bw-?n25}jr6#%|*
zcT@razw~U;*S4(CZRGF5tJZ>O^0zNbXu8Le5JsWu{NZg@09#QuW@N%YVb^(VCU&$S
zZo~q5T=j9$z8Ke$Tj6lxgU1cw*iL!*5*BtvL9lV3I3-b$O~DS=1+()B>8a40qAX0y
z!=ev959IFSX%v{1>Bd{{Jzi3z0^|99XTd_cLUU7XNrk>@6O&QW!(-#E*y>8<i*;<@
ztyaKkK=Gi9i1_VuU4mLOkzL2X9of|{S^C2AP+cax4Z<jv)%^ch>IWBz7W&RX^=q@^
z2M*30AOtI^48<nPeK|+nSes+$#9SdwCY%d(d*jQd_@I#@2;#$kR92*6P0BNl@|D?U
zhrc9(np@w)d3`4{3wW1QeDo4R0x{@pv0+MizBPToGpiCGg<9}0D0DClMYuRIJEjb}
z86a4s3hv!p5ll+Qkx&-lKrvgB@d#Ke6pRQcQn7%>?$Ur85Da#`)}Chs3b9GFW&3mL
zu=rO)iTAJegn$KR;<8_Sx4NaMWNjFBl(|`8qr4`DZMQ2sIQI9=0s7+z!HK7=ha=6+
z&S&}S5>WqpNP6<cblubi(cNvMc04@QpkZmswUmn~wus9KWl6^*PlE;20LyPbA5maj
z<}?;o89T$^IYJ^98PC$Ic&+jcQ{o!iIyWt38%POmpD}G@A7$Qm^HYNx$bgu0>`V&x
z`)w$i0_&doo8t4%A*zz~LW?teAw;J<SNf~wb@S7OW=60z(~yhfdi>D{O7SXqmcgIJ
zn!UyJ>TA8)w8FI2p7jQKG{1^Qcv3E3i*KzPUC~=U-6gyfJ|Suu9~tgd);;Tz08dHD
z?^Q{)n)s;kVWr4I%QC4X4Y}fxBDW4MnMZv^@T4?S9Pz6a>5l)gL_sq3cFlvHq-&}T
z+lxKTXtMH19K2QW>#>Dx2#Fz#-9I>q9id~zS?oT}E<fd_jFd)D3w}|Jcg8R<9ZayT
zgpdE@ZdGvSvmd%@+)L>q(2R=p@(gng*nm(`J|z;t1s+o@DCFhEr&df<h4NlW_2k^%
z)_)S4R(N_E#l*o|KcU!Iv6nI|r{Lvv&y6S3|0zFDOw9jlVrOK#49)GA+F@{ooJ=t)
zP<TkS8!71-qG(rbCxEltW$b#g=93UJyaZ2siVM0Qs)qlZi79njVm#CYt7F90-k(Mx
zqbAtn&dbDXRQ9Gw3-FYEM5+2a^gL?jw=sTuoD&zGhP2{XWz6;`fFR3fj(kzO<%htR
z5+<O4rlunu^w-YRucurRMQrR@KT>np%rXuR?^~&W)|Dc2@#l*VvrhN>R=5}Hntzy+
zig78a$z(JXL`2S}^zKe%S3h0;(<!Mq_<$psdplkbeufKy6#Jx)o<~#;FhqU=zi)+8
zzv>U-pWR=q?9>&Whuh$*_Y14aAITZIdZngob0~(E3#4xU+2NL-kv+Wm?JdQFL6j%+
zP4u=79;KP2zE(<J{@y8sY$>_~FeNvdZwiG_#rJeKcg4(AlL$J*n6Gvuk78rP8VSyM
zqvU=dJ-O_NsTbCyvv2&`d%i!!q!qP`Bb4Pg6pA>oO`%Y3+a(xT@jkMy^)L6(j;QeS
z5Z%2oixR97et?bD(%a8K_tyK>@9zJF+89f4;Gu$V+`l|D=fUybXIYL8DGm8)#ix^k
z19gA;T}sVO%o{w)Q|>v2jN>8XqPpt7%m3<gRc?R&e17rR-qs0ZV<dgA5vPFy;1bOr
zOo`BJj}6yBgYG=L65@Lo0T0QEoj!qew7cY<ePL}b-5qeJVb~OMD%BgfT%7Xb#0^E|
z@=aZ->}Kmc>)`QmHys#EC4C>^)uC1|1I->OSTN$BT71{(S$+IDnpHE;=wUp%zkt{u
zruFF8NodvHXdtpvw>Kol^bQlJkC6{zMyb}O<2Zd}cLMUGgQzKs?J*%^{ckmi-jYf|
z{Sxypz*R+srGBh?^gqde&?(3SBZ3UV6Ns;1##H6Jtw!s58=jUz2ig2H%bo`T%ex<L
zZ-JuYY*ZdS6Z_uCdz9vcP5fWK+MKUQLCT$nmj?g79fJ(YBIkEJk5LLnKBEl1q0UJm
zvdUP!X4zeCkRkn-eym`7B1a^D?kcHCevlL<ax!ELAPDLKe{qY~^dYT=wZ0J@+N*sm
zGlSI8@652AL?Wjvxec&OmCQ-Uaa^QPC3q6dU~5*(TKIQ+ziQcr8os%OPz~tfcb!PP
zNT9t#(2&{K=PaGD52!(}H(En$h53w<EE|6+T~(;)wp!fdn=VstM+h@_45OFys`Vme
z)kAWt6vv*BDp2p<rL^UwX~e2k;zx|jQ3y!x{A>!i;MHX#?YUgg2Qo)NO`A&(t?&9g
z4$|XA(F`zChjFY?g2%D7pO!wWUzVgC?dS|~&Zcus@|k^QNAhnS%BJv?q@pfL{aNNb
z!&o_UknHC6rhRVCBl$4SK<!)Q<v+XUP-AVoK(_XTKaTcC8&`}vYmK<r9is+%3=BWh
zAHq)0k=dWPVex&uyG<2-hn1l{&roE}a=QsP2cO$@`z_1hK=Q_%r~zbR(dPF{!7SOH
z^XC^2W5+mMU5v68{qCZo>=ZdVr4|a0ceNFA!!cE<{<M4M8dncMr79}kG3ZeHT-So_
zeOKRX-;IK6-c57<3e`3%9Za*69X)%&Wt1HxjMl+>Og4|O`_ps$@}%iXWWF0(NmD0=
z&{yj<hPkMBZNA}Agyc)6c?vklK{^2g%!VHVAB?WuR`2P?v$Qo`1QX0lwn9YbQYbup
z)K>tjciGCfj~NO+A07Yp_n`?+0OemI&01Dw>M;XLm$6$Y_6E6^aLs@l{*cH#O+nMX
zVivCd(+R?;b7LKIAVpv0Iq6T|@xR|QmIMyg!3V47XyTKiXKG9pW35NkY3nY5&0j^^
zHosQa=zi(y8D~$^h5T?5Zedi~Kk~bADMX17+IZ#G>G`pS-pA2{fpjZ8NawehxSsFR
zE`HX^W_)-yS{o#$Jn4DV_&lfDMV4RTk>YV@Uwrj`#@vtMPZd5MN-#V6Tv&TO(y;Gk
zzsUZAWRmi-y!L9Hx^9lEy=E&ei`}8;*h4N5{wi4}B#^3qj+%?F^1ENhz1s?P-1}jn
z)~I*@XS$e8?lN;?-WfyCMP5vV7GNOB+Dji(dP6+@&`+nPPb{dn>N~b^OMdzt$e&)0
zek0Y#Be-yB$G(^>@yVE9iTJ#d@WCBdfMe8$I!=rI1kri{WF&93TwU%k360l1%d*?S
z+(C3v#GdaNd-X>qBGBGT-BL{sgEX(RI>nsDNlOE_xPBH-f+DY^!S}K>8Jr}soPLXz
zP|P?BujbxZ%$t)gy3}No-K;EEkvG=0T`!N}jsyQ~0m%$2KFplCf5Ci|co8TQ{pYOY
zO=4D7vPLeHkE^_@dIKb+fa160uis$5;fSA7PY>b+_>8B9y4$6Ug}(I<-&>sE+&2kJ
zt8)9R`^MPQ(*KsD`!^1SI&dJiDK;|CrP^xyz$0%gW+K?#WXzE*RV5amwLnA|P8nBA
z7<CDi56>YiRlc8Bm1}3?Y0IjyA<ErIQb4tGBib&s$(U|<UmMuK`V$NA@AGttb4IOQ
zpxl2~*jx3n`sY`C$rd6-ZFack=1NGEBVK19NL+LH_lkpC5gD8>YK%?|tp(t{aM@;u
zQ&txAx}mU^A}#gnY=hl;V1IXkoNN_%clbDe-qC3>jjJh_%v>tiEz8AHpB=V|spIAu
z%D;`S*=7Q@2OZX)6Z;>!`>^#6FM=C(kEq^@)_dZ)6FiT)-v;xVm3M`}lKY6`J6=Mh
zQWsCnHeu|L0K``OX5auL0H20hu^i~dH%@XU5DIm)S07uVDLxGrB;wH7*ICZ0_Xy}5
zkyEzbvnlaO8;>O~7YG~r;q*Dbl~f}bVb1Gz+i2hZ;mzH+EZ=aP=U9jPiuMCBeM|jW
zEZoULs<dYvbMsjfGKJyaw8Lo8*IMa6u&-K*k^FN@)^=>bnHeHqd(qx(BAN&`Dnh$G
zG4hCN=LT2LWj0(ZxM5`Pb-`T;cOnwy@3Z4#Pu{(A?Ii1;H?SqxDM&~ZkJcIHO!Zx4
z9uh}sezgw<wJc*r@-w=8gAc;nG(xC+D5Vg2sJx8mxhzb7jAz_M*H%czhzhF*kSMXr
z&Kfg+zgD*9ISmY`>H57A*mx@)gVs!yiE{y0;?v+6h;p}CW`rZpJ1bCvTsAzXm{<q9
zRtmh3bxO!0+N?9JKg_6a{PwgaLN%qw4Imo~y}Q}GS+GJXAS1kG^<ykb3@s6B#estP
z>!vKXoN!8@Z`Nn<kAJ<U?>;3wu^npnPKX2&$%s7%6|(f2I|e48zIf&psPf=Hkrmcx
zuwrnihUQ)D2pw`fKsk*3NPQef^eX~c%;$2keJEC_f8~RF%dPu7&%8O2PYDMtRQr~N
zS%4);hm6Ma4&KDQk-lk-?@xfy3goe`Otj9|I&JD&W^-X#b=n}|wGV}+$nslY_U*KD
zU!zrF?d;tB#tjeiIT0YPtbK;|uF0*ZlD8$V$(!u$lHgq!mH5>AvfHcJVB|mzTTrKu
zJ49!+4&PpEn4FLs?ij9R%*inO8sp}WUH;5vzAqV=E$onJOhcx)h3jD3b70wyovMx{
zC~5gt;dLY(0ds7mgFxBp5ix55cx&8D*ojFlj$duEnXK(z7gpEohQ>G_U1~QBDk&?Y
z`e@^c4Ed)|hTf|Dc8m#m8`Q=H$!eMRr`i+tb@m$f(%e`W=G0L|&teMAJ?vQ28}}$|
zYC-@2L>)LC9)I<)+HG@Mz1y1ECsF%1a1&5oH0<XgIp{r??1+6aXJHw!FS>;gr1{By
zh5*xlHg9x5*Sp7LdE(==QG@lKq2}c$HB?*X24rBs@iVgrXpv7(?KqHt#NBUIQJq71
z`o3`}%{3wuV9(&(2CI85g$4xo*C-dG$zb-^N2+y-F3@*{=2b9v2u(<KSqXpKZ>>6T
ziFO72)%z0-AU$`Y#{jh|W!#Il&EcAAi+6lKks^#jgtI7ax*3N^3e?h7pH!D5;7#^N
zz`2VTf6P0xO=wRr`c2|{OLmj7A^e?fF`W{w9+3xY80a8pc3NqPp#YC?^J<t@5cY+K
zcx1iQ;9B^;2gtAYNzJ{Kn~5|Q>?=9(SM$QcUKp{Bx2Z*H6A|P`w-@|hWRAzY)O#NZ
z-{(?_5h{T?WPchwOKj?t>H8+;HGrcIaHRFBo!I$$;5NV#*Xmcb%%rg*U-OuCY1xY2
za$QJqU5E@!1dE($e$=Mn;Vog_L+v+PrG<Boi+{;#saE}o$^IOpb@j6c$GJtLjg=0r
zir6Qkf``9bJF3@+R(#r|!E$dXJ0&VC_gTV4l`<2QOaN&!Tm+d_lS~$N`XCt&ei#d<
zQ_<L^WICxrx{`G&Y`hafX=dNhu@B!8%O=hqm@s@tjcT^`oeO~fx}pA1pYUI#q-ALQ
zxbOSJS;3<;mzij=yNh#m?fcXlpapxL>0M8L$&}}EbQd+TO9HO{I;1$4S+E}$zv627
zbn~=G0A!y5k906P;omTAa7o+Y>~8!CVpFx2_{-v*_Kic8A`|liuxIJRLr{Gj;!Y3^
zH<4*e`YjBJ%RDWZhz6^vV5i~{qv9aR&0)rCB^O(QW;Fr2mdl0jUuV%nLOFNVzT1+{
z!(pSARQ$`z?PoNK(c4Trg8p`*)=Vfz$`9$GA`(I*Tfn7hDfVXqY^1?W3m|t-ZTXrg
z%!5nhV|U>EgukFUfl;P-?>f{bFBdm;&G>#b?PyNXMNZ~l{1Yo8NJV^t<^s*fJ;kYu
zDn}wgTUhE^o1d;lb0X!v6XOTXjv@gQeTf9F=c2}nU$ZlLp-b1VIf+6rSKhm+zY>63
zP@lk1XiB~RNiH=mn$oBWK+{1W*c*s3p3Z?-6*@m^qx3`y3(H@MAVV1Fr?}UTcE;=7
zT};v8iF+(2?I+ROduEa(7tB@73qCuQaLj;(cPK|6?K9iYSKEiil3KLX%eJg1EEO=d
z_~^{lNuAlL1o~bbG3^QUPH8XR4!F=Ze(Z1vso1ttH6&Z}1XY1s-Gu41j6Z4`yORn#
z`f)nq_HXN1n%7j=%T;<NAE8VvfFztS;y;7HZ&rV03wg{mWNK&~Jfe#*7Dn7%^xrjo
z9*i66voOpM&eaj;m-y*`WgnGTzn||fVf6f{B*JZcdkz(+008M?QdoU-5+-6>=&yaM
zv;+AaiMjWa;aA>)Bs}pnWWZdFAQOI}-hF}#Np|Z!sL|I@C?@CPF(9ddojT2KlipjL
zSr9#FIWg_WAJJz1;uY`XhdQ^b4dnWK)&HIzRH3^-3c5WUY>0{2*RPkJ9L!9oW68cI
zD%_99+2#LGG1Uqj73Ki5Z$Y0a-Rq3-Df>`I$3+~1Y0t2StoPODF9Wl3_48vVMD93l
z={Rbzk4L96m-+U)j(#k98!u<p$h{F1sQqPa9Wb)xY3XD=7&c*J>VMKHsO$Dbbt6)S
zW%g>ZmVGT>$pKKC!@p)9X@h4%w!D5vaGQ{``)n3uWb5?rRHsk1#YDuj6mqi<O#8Eu
zbLtWS=5HjS?W!G7x%BQk9!>CglJn^yRZVID!Z2gKHf`ZmS$^^iQ^U2~t_ZI53qF8A
z64+&ctlwwXTB)7+1)yHkjEZx~tup1+vB9NRTaz^W%=U-y0%k1nh@7l${JReIcIq{D
zlHsID+nTCtMSU}B$l7-$(K1>xJauJrdi=?a&3l`UFI<&J5628f*k0YZ%T=m{fe(V#
z$KH|)p7yc1$NDte?w(cxHQs1bhOOwtn=A5eFSUI1Rl983gSFbPK9}XmtSY`JhhIb1
zcB2L(CIB_J6>JwZmdII{Mk3NBYMv^2I`RJ8VA;J%x|$TA+D3@@Ml|$8SVZc}RGZ#X
zbTR$|&L_Yd{fM(GusOf`G_;0?9NYlPBqIs74u3kST;2z8ITS9a5&hBt44854A^*!#
zshrW@w|1MKdMva%iv;FhDTA_eyEn)>fjsA!q3x%k#akZlA){fQu+9A`9CNuJoR)>b
z)Jd^<yv#zA5xksCCu6*<!U)^|5MVP0?0sM)s9txJ>g8?RG({Tg*)YSDEGwgMh1*;t
z`?z|Wx)>M3rO?zsyGNu?E%MLvocNJe+j_D`?6~#;@{S$H`D&~$-Qcc|LGSmwc&#U5
zXl=aVh6-JFT|&Nj=CGz0QABJzsK<hRbIuTEORjHsnv}tz@@t=R)kmZ0@npM?5Ne#L
z2sKEShYP*}t8}JsP$o`R8$PEhFv9*klCpEP3fQ+^;IM3`8vj9yuhQ^<v72)tk`Xme
zC!b&i<u-&A<F9^9O(y>CF|K7fw(?IjC|K%Rz6B^T>a}o10GWC5Qth66uDsL@f68Y+
z2%2<WMaYg>byuU)kUtQE_5tpM1fvzS5W&S6^%*z23fy+5HL&mOX@9fjJ^+R(YhQ&k
zQs$=1C^LNPn?C)+qVOYUmv)HkqJ#T0v9`ke>NlI8-NYQqELzFPb0+!4E8p_CTYcXd
z@hX4&hPe6BHe5Jly7X&}M_9|n^-B%FQ?#o0*t)-5?#BS}cq^s$((lp4i*Ejpb@m^H
zYdi=x3Q5;2*VJ3X{<&0B(a1B3!b!&K*b81AKFZL982!x8B_KfF`Y2@Zxj(t_-Cnn>
z)JOsnMVwj7!EV;Y-<5ZautHkG$o>%PxUVf*!)B~3Yi)O$A2^}9*g-n>E~p|@d$(Q4
zKl!7+<WXQM>pxu=I4V8bkGH3|eqWt78?!XL{h)d%iR)e;Fw>d9z)_`3&c1~{HZt4f
z6?gqGT)Tf1>$V4ALH3rP>4t6Hv7Oc|jcDFypw(-rI8m*M_-L!DaKwM6!e9RCr);@L
z_+H#fyfu3C)3-4sK3D*R8>#76C~m3+>%v=>N?%t=OI@vsKSruBc7<mjlKJ!9rIQsu
zx+3)~+^M|<AGr?@jp)ObLM?KsbG(Ot-TmuyS!&`W^F0&%wMjdR9(Wt-ScdAQ&kSe7
z^Nw4@A?IsRy@1Dla{-ShvOoINueDWUSF<;G|7!m!U@Yv!+pl)GYaqYvlTkj)!Dhv)
z*7mUk)PJFcIMQ{uBCRe7#m>MPY4A;Ut6&w7(yY{~{5z67AH3N3W>q@}k`hoQFD+!W
zZdJWokZ54u=3B|6dmUu022v5gKMBumiT3vmJ$qN*S@l<Le}?;fKhh~_>Cs3u@-ZQD
zim^$*e)@Us>H_8aqp7D}!w`QuV@~jD4VByyoL8vHvxH^Wkj=oUnr^|eK9Y;h#S18q
zt;wnZ_lj1GR>ul~Y&-(8ugA*m#JKir_Mh}?U4C&E$NK`QiB&}9)%-?<WdmRRBHY81
zKQLDaC&A*Z!}9{&xFPr+`_HqF^4(*D&a{7kQGszwO;VjQgQn6f7P#U)Yy<kHYHi_5
zuchk?D8dl3<M{nt8ud~5Pp!6($6>nS1}%Pt=Xl2KjU}5j;kfOFF8o-l3W=^vEm3p*
zd{i!!@o@CPq{$H-GrTyXvWZsR@oUDTDZegUIj{fp(0)mV#|xCdJCNVW_TIyT%l}Ej
z)AnbBj5~uUeT$bwKF`?NB0GJynm9t_@wM0Pn5EmT-=(y+)i7<ewB*9|c7&HfUDLDh
z3Fn3$#)B&rYm=6vp86%Ol#L7J3zDDBPdDAv^&_<Lj23by==~3gPyi?Nnn6VU`{8Se
z_3{$_YuM}HT#8T$$*Kh}MKC>c@^^iq0Y(k$@rQ4?NK<9>_tSHVs^2bOTb~%f#mDi_
zxfG-i7UKyRf(_Vl5-}iGy-ibIS^k&*lw8w;korDhd9JlCFjgqFvj~*^o}G_>)_UAC
zHFS_&s;9~1`u+aXF@$F4Mue1nIGt#-hKbsl8W|e-^Wm%(SZhNb)C1!foo@>fD%y8!
zk=XFF14X{lwWKW4wG3btz2KeMMfcdoH{9r(sA%Lwo=*PV@hp3%?hM4aN#B#w!|MQL
zDvCdl)2}Ee|DXhLY|+Fxiyu@cFKZ?gO|ZwD8zTJsh_1(uH|ykew5$YncES$Uk_RsD
z#|6Zc$!ig!I<qH?RzpOA?=5G6a|&s=nZ~&lo1BXel2L2`?2JcH+D7&}fUg2jV^d!J
z!q$_2l^8CD*kA~DOM9c`Siq^jpUV>_K)Gh>S~RBV<wlQ4#<>8ZEo%cpW2{!jpY(ez
zRD0Q0(@URxb`#--l7&{=xIY{Dlu-EJc`#+UNU$kps|6V?i3VNU9<9D*fkjHy)%N;t
z`l=gjr_-o;9MMG)9xWy~Zf9iSTu_yGC&zv}4Lup<?q}+p{>BvTZTIp4NK55aex=y4
z9Mmvdie7nC_M-t-r#yN~p-H6OJcq9Lct$ZiGA3(xoby&;ta(+w1<9>dK}hzmd|46_
zGN&`c3HMQ&c7FhK+)eWPsP72?XG3?4c&>*nyb+H9XY75f&_ae3bd7q7Jep}J*%*F?
zEFrr|x!!qC*QkQYf!x0)<DP+geDNdqL}j+L6%IKB7O)$T!V=2r+>w8NQhYziy)(b|
z{UbsIWdRt!wKJji=!hlqlQkO7_%fLs2FC7kq|05CuXA_i=QdRH4{nKhhZdezgaEQ8
zs(3i=^!A@%PH_j0L&w&|fT7gh&EWmsfj$5$hB9@BOM8)}^k#57;X7w@LB$&24KyN^
z1wizO{;v>M)kE41H7j8n&MIegR7UGNal&tvmt_Ca;WgFYEuIXUX;wV_h&3jlooLp~
zvVhBp4qURnANLh+^wvIygM(H!>BOcqZN%8K<OvK`C=^<s3N!8Lc6l*ZxT0k<wbQm=
zsyTVHWiD0;MTp)hV+ldO8VK#zwK*;(X0=nrh~H~y-3;4!vAuEYt|R-+kY%gA>4@e?
zB#c?>8`ailGsQE{{U4L-228H?up-hnd&lk9$}v4#p3<-J72>tV%QZWZ{o#a`A#<&l
zuQp0^1?8!P7KuW@rIuFjC&b8?sK=`_vJiUh|GAPLJ3Kd{Ztik5F?AFgRXz`6T0oV$
zIIm9yeqgugx{0Lc4fn`NOISCSnHz)%IW7HaD_LSG>YUzgwK>dKWaRNM%R|vguNg{H
zJ<=2JOLDILe*et(8P>>d$QQ(kU?AaO8~^}S&=SqsWKsAjq_?wnnbyrK>iXlNRX+69
zr<HO<93p~g_VmLPH78rZzhwr7j7lbIosd|K-*}Fof3B6uX3IL;66&5lRpqpGx^TtE
zA1tOI{t(#a%N!>*3I3aCymhsUG)y487R_Gi8^UO8z&uoiwKY&}sQm2bg?0(U;`IDD
zF-@cKbfe!&wU?oJ$;NM@5^dyv$@^ooe*D=#TQb$ap)61t__hZQx{>-TP;5FOA3WRQ
zR~LtNw|#_}LT%VC7Bm#@b*{&!oC<^nLq*`sa0Gv6^Zfk;2aje!oS<BAX+1Us;b;gw
z6{_Dh30=YsS*w(+c-*%Ut%j(Em`a@BYAbi}QUw6$w~Gh;Qih&r#TY+h==i>*vHz4N
zECE!}&F#g%-b7~Uw+iZCGPKQ+;D1R+ITtd6I}RQ{Sw{#Ve3lNW#Sl5=DVtPutnjcx
zh+kWd4g3H(uwM7d!)iO1V~=Vg*+2#Z+2y1sk9Do6ri_6Vd^YonF2Xsz?zQj697#~q
zl;gN|-Rc6Z$5$zb*Q3p!qyjymY(HC}n3;?=ceP%xZ)}XL1;#O)6YgK-tTE^pz+YEe
z7EJZ)dD`h6o}p*y79TMunT2HYeR#erbCHl`R(ARW;WQw)Pij!#6yWEuuwWE<Tq1VC
zQpqQ%o+}q9tR90wbeWGx@!CehwHhny`F(UUf&-9y%%*+JL&$Mg-tqT&muMEEp4JSU
z{{2j5tl$2QeENv3Yy7!z-eOXhU}x)d)2j_a-`t-m`DHG<k(r|t^CbtCFw~-{F?oE0
zwifp$RT+KgT!J)p4J4J2w_PXOldmhmjdK=;`Z~*Qe-b)3y+|N6B7)Sf(+lPhN&!Bk
z%rg1=ov={UNep2+nq;1Mc&epP3&)w<vDP+Bq=~8yiPkeKV*GL3&ysa4m8Q>!xR_^-
zQ6k5fgIm@hM)UH*rx!URk#~vpFfLlUAsZWF4S=$90njhW$XL?G|I^i3M@1F2ZGY(Q
z?oyC$h7gceIs{4SP+(|~Zct(n0qK^K?(ULCx>I1Nk?wd8KF|BE^?iS_)|@l@%%0io
zbH{c4jxY;4j%|FXPyTYXwjU0@x%lhY{K_z=JbmP`<IJ3#`fFhnvIX_6P9e<(i^(P%
z&o;fkZ=dnG?ojYozMjFH#c~L{wKPSf-s!n&KP<CXJa;;JPHiC4$0&9Q_)jV|wH?4<
zk1U+x+=S~Epcik+swD2n6uPv0vq<BvQrai_BaT{fUUz<W)jv|J@ptI4ok9zTk<&ew
z*U>H@py%!a%K0T-!lk8U=r?=`;%#1XC7PKYS%DnB)qx*8xVmDKLQY}w>ulcgF^Zgb
zxT))BUCRd<pFVI3wK3G)ApUCt7-v`Y&py!R7C-xGM9wqiLbd62Ui{1?>NpM)2LmTl
zVy=dZ5^Bp$e^Wbtowzj~Cq3M3?jJt8o-|mg?UXj70~C;fgn-d$;O+G0lIh20>78fM
zCAkF-QG91rlht_c*i@EXU;5nZHw*P|UEdUC_gj}1D3uNH)qoKi@SsHz9)E|XYNq!o
znojg?03}lVb&34U?_#$553{)UsrqN`Zb-Nd77#TgiA`p%$Vv)$;gNEGGTEQsfZCJ5
zoPay=bCHB)BfI3m&#cG%s+~r%21RlMg;~kg)P-ik{diQK1tj0;6J0hL%Z6O5Exbot
zBqPsFz$s%FCWEi#3r94@yfI4<A5-D2@(5);^+dxJboWu=Hf*agz$<yT*9(JRgeE~8
z_}L}*y9|>Pa&enQ)^zuja~V?CzvbUFU&S~O=&&iz8(|M6_OLR^2Z!x*n|*8htvlk4
z`?J|2j6hiE<;=Hc?fnP8vbdO^2I1c(T2mlxOu;ulOud%vD&IQkDuJ6%$Qt6afo9c!
z%iH!B;^_Vw*7zq2r7KNvw^|xjei{Ff+Xti}jG8gz;Q4EAEW&uvXs2Nlpt7)I^j$`+
zwT09Ss{2vik051lVsZ}(KUT!@dawGz((-4V9_7FUm_oQM?1Nfs5X8>ob_3;$V+wsO
zSth$Ni`WkoWRub*I}4z@3Vaa5_g!IG&4GE5Q}a@Gvg2SX8^o?q%?*v{{Uk@74?PM%
z8p|rlE&Cy}@{_T<(RU8Q$y~6iR+3QI12rBCJ|}N*mdo<|y&_(p-0`5YE#(K)Dtnh_
zf>Zl+X7^w7=;AhUtac<Hv)tWBYl$*EeR0yg-$3E5)E&2u2Y<+a3f~Uk7%3Z(o&o;k
z)E>*&L60CXtrIT^$yzn6rRX)@Q~#J!SAj0X?JT#mxvD=st9?b*H=XXjPIrWUKqU^6
zRA)3}qNXUXXIkA|8E0O&arfgx(HOt$Hrn*xzMShlY8*<woVS;k5Ftk&9I8#|Xou;o
z8`*`a&I74};51Fb=_CxJ_iQP(c=u0{x5gr<a#E4QvELX`%7X|nPvoUg3L?VjktX3(
zIOtxAmu#3=3gx?XNhTFZ!y9x{Ke5RGY0l#(8?5{LPEKMXgBS#J0%0rX17!Gb^?LN1
zyP#yTUdzNm4?z9OsbvunH_LpD{*|__Kmq3Wdp+tWUDX-Wnox#0%U&iV(Ryt5r_)7R
z|L}*MgKTR#9lxb3Gi=hxPTn~4f{lX-fhhqB(JI%CA|^p02EaY7v5IgrdhBex$%(p9
zgiG6&*^wPZuEjVTdY&^l?*b3IxGHgTJuFRjRz}3?8}<~|*;PFRO053nH%9B`(m&&a
zXhbz1MVn&ne*d~@VIw~*vAV3@36vUf?LBXX4fvPmt=y~A_x*G%8CEYe&jZ&?rU$jD
zC!L^uA@fQ6(X&G>^i#GytDLtA`d;NXuP%}}$T}k}o657O=5+oP(C_}qudn7F?bQ(I
zQ55S)Y3u+rHH*l=hM~-5^ANY^VLi}={8QV+#V|%9ftX-EYv0?YTBfK**1x{IlZofh
z5A>dFJL)aBySO)PqPl{IcuQ!$WL@$Gku5I|2X6nb=Qg`TM^3dLJ?<_2AP-w@+V}7y
z)Cyz&s>fGbBd`1Nm(Q(tbrmE($7+`2;P}<qI(F(^i7-<6!zGJtriAUhs<Eh<v_(k%
zsEoMQXZeTU%ADQL8pU6w$tX|&cYm68RJ?vsQ6h@zS2EbcIwiN_VL#dK?N6_-1$rmT
zOS6Z{SLLLn3fmzp+iZkPt)<BjlBf0S5jli9{TE-2*Fo3*(OgDGo>DjlLNBw^1eezj
zSx5l(RW~}kmtW840s%+M&5&gMfT9B{Ia-}L;KUsq!VP5#(fOG2VF5e+n(*>Xi@R@v
z-R;<~)Y*o}1X@7+w-pI};Gmg=6RA!ZE9W;2W&-_Ri`}uIA>o3I1hujD+K4Cr7+dSS
zpx8Tlp}jxt@CPg);qbxI&Z5c6b~_W)RhU%*Dq?$+#{RK1Wp%x_Fr7T>OhvDa-dfjt
zWA`lmtmyS&AHZ`X+|~ImpX_Ny;D{li>A%Ee7gyVn#Ebr;1m<TBZ~2^Qeb>hC73q`!
zMO1b+w%b6=Od7=c*ot81B47MAr?qG~naRuyOO=XmQJ_@7Hw+#N#$)f2s{8R`d?quN
zy>C~%t&e0gCFQJ$II~@+5&Pgc?p&?@lzg#@VZk{wwqQE*aqOeW2z1x&w)^=PZDE8z
zO3`QWSz~?oj34a|Uak6m_<PQ{Qj=GIgh8h@Z<>|<Gd76LJ;xx1Z7)SX@AlT;$f8uU
z-0&qV+gj*Xw1dVA#vj-&avXpDsqbhBo+kD#a!7TFKPS{Bt}y3i$4sWvAKm+|=FX1e
z+V$LN;xml6Xg3{$reBnLcxvS?%jX5gMock35Zu<t8yvY7etbNb5}4ql5Ix0!r{*$F
z)K?#-=biQm!_o86B-l&E;`Vh^jxqMMiG(zj!_;ssEK{2OL23n$yJxLuU5mvQ)&lW%
z+IY~w+857U0%F9^$p8VPWS6fC58%HsAh{DxTl>mPSy-*$1t{IM<99PF$$523_e^}z
z;;Fp8@ZMTA08;0wFN4wki(FV+Ai-)EXkbUzzbrzO#iGFj%CQWe-jv@Ze*b=d*<|f%
z;b?Q}Cnfm!+5No8t#i>EFojce(Bea5G_9|n_&F?kd7q8nUzM=xG`M84=C?CNlftTO
z2`ZUZ#i@Q%tlODe`#yI-SN|*`;`EE#0j=NW%%r;y5B8}{MUKW_8zqAMBM(9@y2OfM
z$i(4N?p$WHm;;~Gh{QQzna+%X-mjepeMfgL#1m<$j1^jM_xDv=A=*)Jqxq!|c1Jvd
z5yOtWG+f?46Q45=jfO|F<yjjWb9yI)hX|}^qw#Iedp7>2r#^q#R6m^iZ-Thld3$t#
zGBoj3E&HbGc%sqwL=<%$s|I-cyM$#p5w>zYSkOJoGICSp*qeoUdIE6XPKxsjX#g4s
zT37mY-SFB|nKhlFMxD{|<a#GMnyK0A-+;S&{^B$`z3{PNdLiMaU^$%Kkv2V%L_P+r
z?&e@rGsaH`4{)Ea)jK;#Elwz<06}s4MWLP@-uf^c2N!z}YSC$3fpY$>ov^u+>fYy5
z8jn&pklI+U(U$#Y?=d!m7_61I<aQ=0Uf0}hBcs<PcUTUOsypvfWDpQ+>@jge&8hoE
zkI*dtgi5f`{`;@99jN?{i)?sv*8O-^akwLPJcVeqnppX~OFhhU>615|vDnHhYrzbN
zaihQtOS^S>8_C(+>HcoHheLur1i>Z}Z{?t<dAOR<C+A7W>{_lYsQU#_`F$7)dtu;L
zS4kB4=dGQ$0N8_Pis`=LSgwu+56JCcFOZD(eR!5fH%9XGty>yYGZN6&Y#i;Xz1WTM
zj-cQNf^zhxPyBkUT&a#~cqc3S;`Z}ypHqJ-PbBBLMC!FVuDUhrL~rJPl+Q2qzn%A<
zJoFh{>yoq{+I2g7fp*x*8*NS{9HNqfx*#(y_`cUy{Phgfaj}e7MI5XqWd9+?tvIT+
zmk!*Sq1O~U`f=&hXKO;3`~Ll{MdM6l*;1+P3<~IfCFZF?57|8NQ6GB?{^l>7L^0DD
zZKNz8cG^o;d+e6WK>FQWGX`mSWFJLtf%v*8f1z5tzQLYTt#sAzQYa$2xH}lrwX-tH
zoKiSMQRVjFISdeyope!A*45<L`Gb5P{5*hfsTi{GMr&-y_VQM!e6~F?>oLn2GsdPS
zA(J`H#*WfE8O@{q)bj+WcNZvR7^$`1YOf)ngstiJ@#0W-^`~6SbIDl0@4Od}M_Fa2
z7}P99jGUSV|NZgd(k>yj4chlWcpvKiiPHbaNJ=evI%EeY0Uq`juRTEgGE>`Gi)m&c
zP(wJ(i33StZ931Y9JA?@*18oZyJHMqmx9<z+VtXgsy|7`ETov(x+>;S2k-l4wUkQb
zan(uq0HBtcezi&Hp;qs*?3N+tdAz*38+Cf>THk?^B}m=8k~EFhKLxc2&G)<@c8%6+
z7z_UvOZ!H0wD#{Jr^iauX`pM<{yJxPn$b4@zC1q!-bzbs7bCjfPxaz_@NT<Lv-~dT
zyye#~Ptsn<5P3&42XUn>00^KqMJzq-g_g{BWvnBkT;9^twWqUHj}?;NlJ1iWmg#2H
zkIoUkF*S`2tC~bQ;{6$GuDHYoX*28ka#OI_7_$Ahy-{L$lxhWVvNbz?r)~&+vP#PK
za5*A-rp$Pflv_XjM$TeIiB9c!p&p;x?iINg{Z%C#MmROJj9{_i7s&f`#+!MlD<S!b
zwe21`P5L_pi$IHWh~k?<rU4!=8YI}9w5h0eU?^o~-e6pC1wX7#IlL0U4wR?!*70>i
z*(-fw&c2`)EPC1rBXN5yUDY3+4e#6j!Nvf=gUl1EHz&5IY$$i!d>COHBcV(~XbpcA
zPG*!^3#$+vTKa<`)37B+o0eMvcX)Os3oH}j0NkgF-;uL-b>IKuZu<ysy@IpdOzwJb
zwPOS{uaWmwV%7|xrSugsz$nM!a@WOddjD11NM61;<Q?srga?QJEhx0PuXX|o|88pa
zkCiU>t*g61>{a&Ff%r*SPfnf=f*PBJZ6ZKGuz_P$+~5;^>;J6%A%3kIqOTKp>tNuv
zkZzkp)oH8%c+<rsfDWqHar)}k==rZgRBXaEAU|=6LbN}r&A0!E(bT8B^jPQVqC?jh
zOk9I=iCe!>BgRceZZxE-SQhIpaOK+5zM`vA|G*@3@dK?x%Tak_4tcofg9M4|F>|+^
zm0usZ@VApHkk_H-OX2>mh)Fn8XwvD>X9D3{t4fKxovWITD7}3c9iDx5JY<?2zhm>?
z2n&C#RVIDHDBO*YsYbq#V<}Ww$+75P84;%Y$V;UCMtylWx-)SdRj17(y6gv%_}Hg+
z^^K0GFn=&JjOHC13Ju7iv(jb+^GpP6>kc86%H)n3+QjMpBuohBT=I9M;HwZ?i*lQq
zGaDjKe#-2#nH19>JmF~m50)Yg#~u5Btip4~t}FFes!l!I9-jMTETFR-m31ia&@O~k
zkC9oO6@+<73g_Z5liNTxY#WZ>C`>7#kp@4x<=96;u0dKhNqX?{#~Kcr8YxvB^46I8
zO`&zos{XxgE9SIx2wF#?<H0&PGBhLImJ%qGelLpwxC~Wt_s$;Oc@_$4JpL#G8C(hj
z+9ra++jjwVg@;x<DPdCMv3dJD=R3FRKqg1+MBc9^<i9N@bq9s<<CY-zr_4G{^zqF%
z79rE<dEHLUxc=CoRmv4Dv83q=$hIV&99S~igGv_RgE4hcp}f?#!rLHQiyf<>aXgFN
zVjg*@Djecx3&&EZq3!YG6o7p5M5zXDQ9#%fN`=CK)K3l-TuUn9({hK1O3kjg!h3~9
zgaC`uB)D2@?XymjXZJh?i#b1a1+Gim>sVgYnxR&!!O@YV?CL^p`nNH*i7~5+c{sLa
zYv|D#zHCJXc&C<~Ef9%ySwQfCO06Z~DMkXd$&^dcNye<^>RSmucD74N6?-B%Xi53;
zq-FDZDhBTQ6?Aqhu`<`ug3*#_q0gzcgzEw>s$KXWH1mmFkGHGS#=n#rHLx5HqoHcL
zk=zvU1JzvXrY=q*-ep{lSK4_@-yM|^4uOTO0YvgkoY*62i-9rUk04X|%q`jqvVy-f
zE35*&V`FHIqogpEar&V<bZXtPy6NzVnt}Kvo$+3(aUmy9lFb5Np|a@wdSf_>0=lZe
z?;0_(7TyIt9FRkIWw1H=cyDovkkoj3z*t_QDRwQMhx84gv>m)PoqKUwqIXINP$|RA
zQTuVTBKi0{ONq4rBO}p9*epK}^z3+7tf;CrfAA>TmA@u68d_A)$uzz~oJ0mCq2>>O
z(9Q~A1i=xxF^9TzKW2U>&6&;EFTOjQPu|(l0K)go2V6r6s4*9ahl!d=Sf|G1^IoVR
z?D-^%fYl>PFO^1m!_t@IA2EG>xXy7)qfw5Qz8(8BPmqRt)SEJjK@1i$6COmZuF61j
z<bKSoR51YIDoCU6+LGhOBlYeJ(B0jM94aDzck?+4ppIlNzj`u?T*&xA&@CY`S%6pr
za7;Zb>wMcY+eIHUT|~><6apk>6v6mOxGMt>N2}rLo_e6P>`c0lB(>vn?rZ>-;0kk0
zsle&tA$04&JBVsV`<**hUeFLCYI*-PUX!Vm^J<tAOFXhg=0LF1`j|{dhtlS1H8KK{
zwePSRh=8t)7Gn#=z;}@muvsw2;E2n%)w|)}IKhkJz5j=w5U&mt?akItUT10S{2OD}
z1{hW&1hXGyu6i@UwJCLfSRV`?GNj%N2s+a8kN|Lor`~}LV22X!CVwQHzc#YEl5_n~
z+lwqNZOErvz%zOlH&L2G`!I{D_X(xp6oF~MnDDjbEz%2)mM=i|xlU{%$|fuSFfJLU
z{$2>PpWLFnqD^`nAm?Qeok#X=@ka@oJ8phMvxbBeB4s5dNs9XNSpLNf=8tmuf`2+T
z68CCOeOyo@lbx%;yhUmX0fg^@chri1T4Z$-dS+9bDVOeB%){}PGK9{~uY<jU6&3VZ
zM3_=ArB4@E2?zsR1_=|xdEse9=i!gMvXE~GpgBChI?oYmGq?brEhQjqWgNp;45_qE
z1LzEmn+YDaNT36xC)S2JQre{5R88+UU1ywo5FkN~AtZw<EfQ>w3s*Y1xvpxZ#&b&`
z1<<VJ@cN9lG@x_usdkkT^hX@{BvAN^h?Qq63G_<_JHe>$)?B7vBn<T+nxI`hp+wB!
zgkwqC!{-~;!KodG2X&?#qEF0-19&Ga96La6-8wPT^lgC47ki77nL@9Mv-n$t{Aa39
z>=XNwpbetCdjr_E7{AR%=6E+1sJMeuz0sDEva~_Ax&nhy%owt5JaM4~M;nLqa6~EX
ztOp#O@ZZDs$C|n*K)N75o$KV#q~>8PD>9eXIo90PcXOmsD(_Z6Ux2M9Va2BsEGWqE
z8e}4WHUGytK2!UQ--BW%>h|Eo)Q)${F92BV;gLg%RXSuMT6~|b{GOs8OdQ(~fbW8#
zodA^gH$TjsZqN!hM3c^6>)Spvj8JZ*d)3T~XPVZ8ixzcTfRpzGAVUHXb&PEQ_Bc#l
z4>~+Ox#4rOeiaM;P|j{$HyVjqufK=gAG%Y>f%E9P#^@y@@01bik5cnV>bi7*nI(M_
zZcS_`Aqqp9fq&XRwFQa`V>#7a!%v(WzNc+=e`{o9Zgzv2Efj}n-ZMYJ@57?I!6fS*
z076tCZ-$$9{gH0kg<@l3egvpNM?7wBeos7~|D*5p+?f~OPXI=0=DoiWL(}B#a3(;H
zy~GjjTnYMwo1yOyuM`+uj%IZSpJw2n+Ll~Jve&bg;XE+fiS<?7u7O;Dj}NQw{Y42n
zLVh9uq4Ii&QKT@>ks4UT^uLcP%s1G8ZbF-qwZ?`Eo`PnCz@#9w4sF2O2fLs3p1@mW
z?xcVhWKc)H<7h56x@Nu9$?;2VxT7*(xOY`4&1qk*Pta^K#iRvUuYd339)_uj=)p|k
z3=fPwcb4q_AoQE;oQE$Bh7nGOeu%*-yB}kVGM}OYga9c3J0bh`%Wz8@Zt07cJuK40
z-1Rr%<GIsp+Haes=G09;kgvi+kq8oV3|n)EmVNr&BO;2zwLmuEPt>WyYl#~9m*5U_
zfaIu=fLE*>R%W@2)N2{aGi>Ym8HkaZOc&fK#k0vrL2EBc3@McyM)!ih7i8o`Q0E!h
z|K3E>g4;*lSZ<u~_BC0HJpAx|Dzy>Q2I?RE7dhpbM|OXsg_ySP$wg-N@Wn_18~GlV
z^HB1%J;U{K%=dP07Ww7s-UDbWi!G&1SZSiy?*~olhGWDr4Bp4)bP0Um{Gb&L!)**P
zip`bNDDmviWkmC$Gc$n^NBY-`jO@k_O4MoVG^FTaM(AEd$VLcKv$E+PIVFTMNSmvt
zA)(-jty#<8nfcpVXz@Q#F*~x|)|Z~?g{LoOAeL7s%>itp=ND9J_-7ZgzUU%NaFe*S
zL|B}T6j*gp70?=WQgqZ={Kd=#Tb*Yg?h-hLU9M&Ez5jfT>fJ^!J%0ZA20)t{KO}vk
zZIS7Ra=QMPG-kPt8(>c?XR(plzM4+zlPasCg3h`!C1y&7&igo6M~5F&W-wI{Ii&T8
zxkc&8*zBc3sv=>}oxdK~8_f9xS=*iT&?>T%gyviaG>0aQ)m)MXXHgNH*Y|Geza(2>
zsrAS!5di;(o!0*yN26-O0LUYSyTL6?J$ItF?E=!{(deR?&#$HCp1q`NGyOA1*mM$>
z9v`oXWDS~(13X%EE%R|Y+zNSMx+>kdBI$8^{}9w5h~d=rfFW}UcLvdF$Nv6H6#xGa
z;LIWaM}Qk(buWp#C5D8HjzYy27+`QBH;KN!LmiF5fpEv}#L3YW8EfM-B|sD5h<+qO
zvV|b9b4r{7F2JHJy2?OQ8TKeT31oncM&7)3R^D0@PK{YNIs!7x+{w}TV7{sjYiS9f
z2s3ieMzJ$6f<UL1`mD#NR*{Y}2%b`y$;`F-Ri9>8S;_Hr-0<933lAQJ*ip(?e=#vV
zt3S1ZH0$^-9S-N#7`&MU3uxg0_-3zV|K9$k%r@agTmd`}u%2oFJyB}JB~>R4{QtuF
zuo=K~vlzVo3cYx^QXVmdtIxUAHbwZz9v(QWau?^xwlo1=lQ43F@_Y9eBLMl&UE0>J
z#|lhzqQ<a2R(P}i^bMS|^lZ_-RND>?-v;7V=X76Kp{6i0xfM{*Y?Ns8bHm<65AOiK
zWbL_opFoqPP+Tcd5_21J99x&VhFOi{oa4qwU+t7H0U!<eTy}~)K~Pk+JQrq(%Y80B
zezg2;H%?R}3m9Z*!jt!q$u!YqE-4kTG5;?yk(p-=zv07R(BE%1PsQZUn+B3A<v9{}
z+t9tDC-STERAb7LovC#v)l8OyzKDuMX+WO}Tf8*hRB)*Ge}Ig!d=pIT`1>6NQCx4c
zF{zPha&WQn0Z@}UlskVw>q2v3jZYxB()Wl-ag|&ya@!-Hq`gnmh_lM+v&a)^u&yxt
z^N>dub2rsYa7^?6;v}O@0h}Z%>wj^QTgUt+Z%8px*?L+?0W7b#(v&C5NIkxrZQN3A
zN?(S$EFh~iZC%beYPvdk?({^$8yxCH1yg;#PL>{aA|(mJ)j%7KOM0sW$W7vnR&RbJ
znCq|91V#f~z8?q9b$|?!?H68{7X9`Uk64zbMn(255{_h9ygZaOpMmL8%Z7aK*X_4G
zHvfeR(G;EX&v~`&{pxZ+jE2YyP&3EH8TVT9NBh|;G)BX&u4~oH{SpLRWm$1ZXIM(5
z>pW31f)~F*)MB!tZOv?2D~9dY0Z5y$h1MserCwcrfQtKOs`A!|puq-*E?kL9QyvL5
z@l7Qjx=on5VODmhTExZoXpQ(b21QzK85%ds9_r?K23S7H`6WiLbvz?|MY7k~&-mo#
znujgo#DG5D{v3cHX1_|wTJ2b8l)OHr9z(ks(OI4HPHLC|W<~0z%Kn}?{)=`BuswS|
zD^n<E^Hd=TT5VJ+O>29Hk-@y$%#u_UVsaW=Wt41sq7M~xoL+Y>tItNHMqb9u8O2SN
zvVkG$chYP$xt8X~!@HWawSc;yo9fSOS%x#y^_dmdciOvZDAEm=+u`a!#Jgn`t_ip>
z7vhK_MlIJI{}EkX>|_J83>4>ndy&8x8LI*bMP~<#ZvJ1;?6u;VUdhlUntF1@#5a02
zE^K1bXVC?tmxnm{5zZD%ugDbZUxj8F7*CaxB!bb?4+A2P`kFr%$}=2rz*SCO&_wz;
zI>s6H<6+o;s|J;dja=UXP_hd1?)OHenZLf{m1&*k^N(iO{uCQL-(OgOYPMW|*42LQ
zPxFez^1->A62#TzkPF7-^+yBNn}N}k8dE>+6%PRW%_27piuI@hh}r<|m*6~hgYTU#
zVhaLDJp|Fz8lBe|=iR6G<GhL6&ub9Gb#zgmj)0(UoAlc&NI`HTjn!Tx!#Oix920X=
zTeG$&$n>J#lv2;uThlpeL{J42^`h#u8O;%+uFNF^5MipZ^d~C|lY>m$bd})*(h@{v
zM*%LCtfPcEei;ouujUZ&KowjqarcT0+yAiG({jF_8+<rR(0~h9kOTC}GW=5<$500p
z8e16iD{p*x3<LBhGI9?h)Ck|j1tbNIDLh3b<a%{V{qznHb+KyyHuyAv)q{u+aL5Dq
zW@b|(8jy*^r`9`EhCi7dBr8a^uo=?xz>Sm83W2AI5Kate^toXfno3CZ$2Y$rz#F!5
zqToCLmN&=*QJ9GihZoHKYrHhJbX6XD{__>^@|xvd=rU`_on=GU5?~Nm7R`|`G?XBk
zL0bWVK7Bdt;vz6>BQ4`;&oUoeX0*YZLO1>U#AfF1sI)@vSrVm}skf>FsEI9H9Mr%&
z8j=-F!59pW<Yg5)VF1g!tniXiVPMYb2%t8r+%X@pF>EJ0hMptSXu(P4yaC&Jvzjiz
zAqP1I%5#2C1M${#{Te@vEj<lu#0$j<0O;4K>*hB8eflDNt|m~sbh@6{t_-pn>=+Qp
zb-biEDi+_x0@jf>f1~T<`A%07n2sZH9Y(V}`n7WdB84cAL)|DIjK@?B!!}3(1S++e
zFze>|{4`dnUAjS48<QP=3qrt&9kF{l{)x6D3UHtmxQO8j57<Z-2f(9$o3i0GLGGcZ
z5ao0Aw%9M)IEkp3d?Jjmdz;o{GK>YWA7lcujcKBb$X?6u6{Em3>nzJFK1lzP3}*+J
zHp-3cVHW|HBp2MKI7jH9x*RF*x?AbtX(WoKg?TT3P6J7j6;Q{?U6$pR!8)cOKd|GO
zm;zkv`x!0ZDjW)=A~y;CDDMh6VM)$tKTr@yXC7HguxSxG2;)DD+4+AKc@>7cFgUZ>
zv&CRqkG_u{12Pe95FRe>q9u@ikL*DYV7>w1d%9A;vs{r2FrsqzW3>ktgNB?FwS>(i
zQZCws>~Ixh6`Ef5R1Sw1K8jQgtntI|9Ma!h3$?6<wGmlzsTq;LmX4{%8Ikka>xJfg
z_m4!45V`L<?d_NNxfpvqqL-sSba%p{{8-l`!gQA_E@O>Z2eH5Q3lX!KTw$ei_V!mu
ziWK&sA5m<U+(WgDt|7Ps__xkDw+YuZ2;&Y*r;O!4Fhf>olp}&^*W1+<iBk!TRhU4&
zinWi%>{8p~TEf!dve21Bq{<nTxSj2B^jDg4ZEB4#Vjr_{VIu^h(r7)n0lyHkk?x3Y
z70C`@Z{?Xl;@eG{WrlKp0>&BaoVm}<>KB)<)<CYu%LhS=V}s9+#ikI@X}Y-F4Ll+B
zRoWENOrXQtZ**F?RV$+OuAg(}Tm<djxwCl+AX2=}b$%_v80(*d`wE8dR@pC5^3I(#
z4>%Bzu3Ep0J@)#Koi;W)&4eagh{-R!N`pd?>8rc|J4-_MH{pFjkaTzy!7UGtfnf!~
zurg&J`so}BRX%m%uXar|de>hTjf-rqi}5&vj=&+4#l#F9sN#l45fZ-WD}_qDnTpXN
z-=fVKF#7!EPv?<mWodE0{M9k&T?61-8GmEuz#=+1!Bb|l-G>WTtZ(jc+(6Q3uMOdo
zf_CnmvQ5&Ifqq#l$Yp6?du;!Wc(NrihEm@#4|zLjgZ%Avy7LN3eadnHFfY(O%cUMy
z!!{&Yh3P8@FQJ;*`OO`{zu{V!umnnUW*SVSm+AEbxon&|d+L-1E#KUcBmh@KFJE#I
z;Ly@xWsiST^X+$wI$J!uV&1cdbVX1$lC0KI==+23&j-=<-`KXj(0;!`LikA>c$)(3
ztDp1OjCu)2#L(-MF9MkfsZO5sU+Oim=z+D7{QQaoM{dx}G8;=MCRv$3d%F=!NU||+
zN&Vxqqtz)ybee1=*Y9^PxGzv5IF-cS4df-qk6S1#MR1mTEy{9vg8wtj*TO&cTTL4c
zb9-(m0&#Ec`aEmNK6yX;i~12E1UimzqkmF&UtDSi?k@QCC?PeFpUqWiyI4+Q;9Dy1
zxuM1G3D&}UnqVBvoRXPM%g9mOFM{sWcfyx2Lq*f}sB(XK?C$EVC#%!rh8AMLIKqU~
zmB{-8_dy9YisC4ZKGxiXV?TjoJoJIg<vqE34bT04k3qDp)(KdU);12|1pp@ph2Vl{
zwj8AEwf~~t%#FE=N^V<bZqbdoKW1*nT<_qdqO4s1Y8crm@Nb)L@1wOnjxo@GwyU#(
z6Yv@9=@~6uDx@U9ANr>!wE#aM@NAZUPix5r9?<gty+#jhN5lqwoNBmjy$%in&IG-Y
LQ<W`~HVOJ4Ty0iy

literal 0
HcmV?d00001

diff --git a/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md b/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md
index 6f552a912..00fe03314 100644
--- a/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md
+++ b/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md
@@ -2,15 +2,25 @@
 
 {{#include ../../../banners/hacktricks-training.md}}
 
+## Outils
+
+Les outils suivants sont utiles pour trouver des workflows Github Action et même en trouver des vulnérables :
+
+- [https://github.com/CycodeLabs/raven](https://github.com/CycodeLabs/raven)
+- [https://github.com/praetorian-inc/gato](https://github.com/praetorian-inc/gato)
+- [https://github.com/AdnaneKhan/Gato-X](https://github.com/AdnaneKhan/Gato-X)
+- [https://github.com/carlospolop/PurplePanda](https://github.com/carlospolop/PurplePanda)
+- [https://github.com/zizmorcore/zizmor](https://github.com/zizmorcore/zizmor) - Vérifiez également sa liste de contrôle à [https://docs.zizmor.sh/audits](https://docs.zizmor.sh/audits)
+
 ## Informations de base
 
-Dans cette page, vous trouverez :
+Sur cette page, vous trouverez :
 
 - Un **résumé de tous les impacts** d'un attaquant parvenant à accéder à une Github Action
-- Différentes manières de **accéder à une action** :
+- Différentes manières de **get access to an action** :
 - Avoir des **permissions** pour créer l'action
 - Abuser des déclencheurs liés aux **pull requests**
-- Abuser d'autres techniques d'accès **externe**
+- Abuser d'autres techniques d'**accès externe**
 - **Pivoting** à partir d'un dépôt déjà compromis
 - Enfin, une section sur les **techniques de post-exploitation pour abuser d'une action de l'intérieur** (causant les impacts mentionnés)
 
@@ -39,7 +49,7 @@ Ce token est le même qu'une **application Github utilisera**, donc il peut acc
 
 Vous pouvez voir les **permissions** possibles de ce token ici : [https://docs.github.com/en/actions/security-guides/automatic-token-authentication#permissions-for-the-github_token](https://docs.github.com/en/actions/security-guides/automatic-token-authentication#permissions-for-the-github_token)
 
-Notez que le token **expire après la fin du travail**.\
+Notez que le token **expire après la fin du job**.\
 Ces tokens ressemblent à ceci : `ghs_veaxARUji7EXszBMbhkr4Nz2dYz0sqkeiur7`
 
 Quelques choses intéressantes que vous pouvez faire avec ce token :
@@ -147,7 +157,7 @@ Il est possible de vérifier les permissions accordées à un Github Token dans
 
 ### Exécution depuis la Création de Dépôt
 
-Dans le cas où les membres d'une organisation peuvent **créer de nouveaux dépôts** et que vous pouvez exécuter des actions github, vous pouvez **créer un nouveau dépôt et voler les secrets définis au niveau de l'organisation**.
+Dans le cas où des membres d'une organisation peuvent **créer de nouveaux dépôts** et que vous pouvez exécuter des actions github, vous pouvez **créer un nouveau dépôt et voler les secrets définis au niveau de l'organisation**.
 
 ### Exécution depuis une Nouvelle Branche
 
@@ -170,7 +180,7 @@ branches:
 ## Exécution Forkée
 
 > [!NOTE]
-> Il existe différents déclencheurs qui pourraient permettre à un attaquant d'**exécuter une action Github d'un autre dépôt**. Si ces actions déclenchables sont mal configurées, un attaquant pourrait être en mesure de les compromettre.
+> Il existe différents déclencheurs qui pourraient permettre à un attaquant d'**exécuter une Github Action d'un autre dépôt**. Si ces actions déclenchables sont mal configurées, un attaquant pourrait être en mesure de les compromettre.
 
 ### `pull_request`
 
@@ -179,7 +189,7 @@ Le déclencheur de workflow **`pull_request`** exécutera le workflow chaque foi
 <figure><img src="../../../images/image (184).png" alt=""><figcaption></figcaption></figure>
 
 > [!NOTE]
-> Comme la **limitation par défaut** est pour les contributeurs **de première fois**, vous pourriez contribuer **en corrigeant un bug/typo valide** et ensuite envoyer **d'autres PRs pour abuser de vos nouveaux privilèges `pull_request`**.
+> Comme la **limitation par défaut** est pour les **contributeurs de première fois**, vous pourriez contribuer en **corrigeant un bug/typo valide** et ensuite envoyer **d'autres PRs pour abuser de vos nouveaux privilèges `pull_request`**.
 >
 > **J'ai testé cela et ça ne fonctionne pas** : ~~Une autre option serait de créer un compte avec le nom de quelqu'un qui a contribué au projet et a supprimé son compte.~~
 
@@ -187,10 +197,10 @@ De plus, par défaut, cela **empêche les permissions d'écriture** et **l'accè
 
 > À l'exception de `GITHUB_TOKEN`, **les secrets ne sont pas transmis au runner** lorsqu'un workflow est déclenché depuis un dépôt **forké**. Le **`GITHUB_TOKEN` a des permissions en lecture seule** dans les demandes de tirage **provenant de dépôts forkés**.
 
-Un attaquant pourrait modifier la définition de l'action Github afin d'exécuter des choses arbitraires et d'ajouter des actions arbitraires. Cependant, il ne pourra pas voler des secrets ou écraser le dépôt en raison des limitations mentionnées.
+Un attaquant pourrait modifier la définition de la Github Action afin d'exécuter des choses arbitraires et d'ajouter des actions arbitraires. Cependant, il ne pourra pas voler des secrets ou écraser le dépôt en raison des limitations mentionnées.
 
 > [!CAUTION]
-> **Oui, si l'attaquant change dans la PR l'action github qui sera déclenchée, son action Github sera celle utilisée et non celle du dépôt d'origine !**
+> **Oui, si l'attaquant change dans la PR l'action github qui sera déclenchée, son Github Action sera celle utilisée et non celle du dépôt d'origine !**
 
 Comme l'attaquant contrôle également le code exécuté, même s'il n'y a pas de secrets ou de permissions d'écriture sur le `GITHUB_TOKEN`, un attaquant pourrait par exemple **télécharger des artefacts malveillants**.
 
@@ -234,12 +244,12 @@ Nous avons mentionné toutes les façons dont un attaquant externe pourrait réu
 
 ### Exécution de checkout non fiable
 
-Dans le cas de **`pull_request`,** le workflow sera exécuté dans le **contexte de la PR** (il exécutera donc le **code malveillant de la PR**), mais quelqu'un doit d'abord **l'autoriser** et il s'exécutera avec certaines [limitations](#pull_request).
+Dans le cas de **`pull_request`,** le workflow va être exécuté dans le **contexte de la PR** (il exécutera donc le **code malveillant de la PR**), mais quelqu'un doit d'abord **l'autoriser** et il s'exécutera avec certaines [limitations](#pull_request).
 
-Dans le cas d'un workflow utilisant **`pull_request_target` ou `workflow_run`** qui dépend d'un workflow pouvant être déclenché à partir de **`pull_request_target` ou `pull_request`**, le code du dépôt d'origine sera exécuté, donc l'**attaquant ne peut pas contrôler le code exécuté**.
+Dans le cas d'un workflow utilisant **`pull_request_target` ou `workflow_run`** qui dépend d'un workflow pouvant être déclenché à partir de **`pull_request_target` ou `pull_request`**, le code du dépôt original sera exécuté, donc l'**attaquant ne peut pas contrôler le code exécuté**.
 
 > [!CAUTION]
-> Cependant, si l'**action** a un **checkout explicite de la PR** qui **récupère le code de la PR** (et non de la base), elle utilisera le code contrôlé par les attaquants. Par exemple (voir la ligne 12 où le code de la PR est téléchargé) :
+> Cependant, si l'**action** a un **checkout PR explicite** qui **récupère le code de la PR** (et non de la base), elle utilisera le code contrôlé par les attaquants. Par exemple (voir la ligne 12 où le code de la PR est téléchargé) :
 
 <pre class="language-yaml"><code class="lang-yaml"># INSECURE. Provided as an example only.
 on:
@@ -272,7 +282,7 @@ Thank you!
 Le code potentiellement **non fiable est exécuté pendant `npm install` ou `npm build`** car les scripts de construction et les **packages référencés sont contrôlés par l'auteur de la PR**.
 
 > [!WARNING]
-> Un dork github pour rechercher des actions vulnérables est : `event.pull_request pull_request_target extension:yml` cependant, il existe différentes façons de configurer les jobs pour être exécutés en toute sécurité même si l'action est configurée de manière non sécurisée (comme l'utilisation de conditionnelles sur qui est l'acteur générant la PR).
+> Un dork github pour rechercher des actions vulnérables est : `event.pull_request pull_request_target extension:yml` cependant, il existe différentes manières de configurer les jobs pour être exécutés en toute sécurité même si l'action est configurée de manière non sécurisée (comme l'utilisation de conditionnelles sur qui est l'acteur générant la PR).
 
 ### Injections de scripts de contexte <a href="#understanding-the-risk-of-script-injections" id="understanding-the-risk-of-script-injections"></a>
 
@@ -286,19 +296,59 @@ gh-actions-context-script-injections.md
 
 D'après la documentation : Vous pouvez rendre une **variable d'environnement disponible pour toutes les étapes suivantes** dans un job de workflow en définissant ou en mettant à jour la variable d'environnement et en l'écrivant dans le fichier d'environnement **`GITHUB_ENV`**.
 
-Si un attaquant pouvait **injecter n'importe quelle valeur** dans cette variable **env**, il pourrait injecter des variables d'environnement qui pourraient exécuter du code dans les étapes suivantes telles que **LD_PRELOAD** ou **NODE_OPTIONS**.
+Si un attaquant pouvait **injecter n'importe quelle valeur** à l'intérieur de cette **variable env**, il pourrait injecter des variables d'environnement qui pourraient exécuter du code dans les étapes suivantes telles que **LD_PRELOAD** ou **NODE_OPTIONS**.
 
-Par exemple ([**ceci**](https://www.legitsecurity.com/blog/github-privilege-escalation-vulnerability-0) et [**ceci**](https://www.legitsecurity.com/blog/-how-we-found-another-github-action-environment-injection-vulnerability-in-a-google-project)), imaginez un workflow qui fait confiance à un artifact téléchargé pour stocker son contenu dans la variable d'environnement **`GITHUB_ENV`**. Un attaquant pourrait télécharger quelque chose comme ceci pour le compromettre :
+Par exemple ([**ceci**](https://www.legitsecurity.com/blog/github-privilege-escalation-vulnerability-0) et [**ceci**](https://www.legitsecurity.com/blog/-how-we-found-another-github-action-environment-injection-vulnerability-in-a-google-project)), imaginez un workflow qui fait confiance à un artifact téléchargé pour stocker son contenu à l'intérieur de la variable d'environnement **`GITHUB_ENV`**. Un attaquant pourrait télécharger quelque chose comme ceci pour le compromettre :
 
 <figure><img src="../../../images/image (261).png" alt=""><figcaption></figcaption></figure>
 
+### Dependabot et autres bots de confiance
+
+Comme indiqué dans [**cet article de blog**](https://boostsecurity.io/blog/weaponizing-dependabot-pwn-request-at-its-finest), plusieurs organisations ont une action Github qui fusionne toute PRR de `dependabot[bot]` comme dans :
+```yaml
+on: pull_request_target
+jobs:
+auto-merge:
+runs-on: ubuntu-latest
+if: ${ { github.actor == 'dependabot[bot]' }}
+steps:
+- run: gh pr merge $ -d -m
+```
+Ce qui pose un problème car le champ `github.actor` contient l'utilisateur qui a causé le dernier événement ayant déclenché le workflow. Et il existe plusieurs façons de faire en sorte que l'utilisateur `dependabot[bot]` modifie une PR. Par exemple :
+
+- Forker le dépôt de la victime
+- Ajouter le payload malveillant à votre copie
+- Activer Dependabot sur votre fork en ajoutant une dépendance obsolète. Dependabot créera une branche corrigeant la dépendance avec du code malveillant.
+- Ouvrir une Pull Request vers le dépôt de la victime depuis cette branche (la PR sera créée par l'utilisateur donc rien ne se passera encore)
+- Ensuite, l'attaquant revient à la PR initiale que Dependabot a ouverte dans son fork et exécute `@dependabot recreate`
+- Ensuite, Dependabot effectue certaines actions dans cette branche, qui modifient la PR sur le dépôt de la victime, ce qui fait de `dependabot[bot]` l'acteur du dernier événement ayant déclenché le workflow (et donc, le workflow s'exécute).
+
+Passons à autre chose, que se passerait-il si au lieu de fusionner, l'Action Github avait une injection de commande comme dans :
+```yaml
+on: pull_request_target
+jobs:
+just-printing-stuff:
+runs-on: ubuntu-latest
+if: ${ { github.actor == 'dependabot[bot]' }}
+steps:
+- run: echo ${ { github.event.pull_request.head.ref }}
+```
+Bien, le blog original propose deux options pour abuser de ce comportement, la deuxième étant :
+
+- Forker le dépôt de la victime et activer Dependabot avec une dépendance obsolète.
+- Créer une nouvelle branche avec le code d'injection de shell malveillant.
+- Changer la branche par défaut du dépôt pour celle-ci.
+- Créer une PR à partir de cette branche vers le dépôt de la victime.
+- Exécuter `@dependabot merge` dans la PR que Dependabot a ouverte dans son fork.
+- Dependabot fusionnera ses modifications dans la branche par défaut de votre dépôt forké, mettant à jour la PR dans le dépôt de la victime, faisant maintenant de `dependabot[bot]` l'acteur du dernier événement qui a déclenché le workflow et utilisant un nom de branche malveillant.
+
 ### Actions Github tierces vulnérables
 
 #### [dawidd6/action-download-artifact](https://github.com/dawidd6/action-download-artifact)
 
-Comme mentionné dans [**cet article de blog**](https://www.legitsecurity.com/blog/github-actions-that-open-the-door-to-cicd-pipeline-attacks), cette action Github permet d'accéder à des artifacts provenant de différents workflows et même de dépôts.
+Comme mentionné dans [**ce blog**](https://www.legitsecurity.com/blog/github-actions-that-open-the-door-to-cicd-pipeline-attacks), cette Action Github permet d'accéder à des artefacts provenant de différents workflows et même de dépôts.
 
-Le problème est que si le paramètre **`path`** n'est pas défini, l'artifact est extrait dans le répertoire courant et peut écraser des fichiers qui pourraient être utilisés ou même exécutés plus tard dans le workflow. Par conséquent, si l'artifact est vulnérable, un attaquant pourrait en abuser pour compromettre d'autres workflows faisant confiance à l'artifact.
+Le problème est que si le paramètre **`path`** n'est pas défini, l'artefact est extrait dans le répertoire courant et peut écraser des fichiers qui pourraient être utilisés ou même exécutés dans le workflow. Par conséquent, si l'artefact est vulnérable, un attaquant pourrait en abuser pour compromettre d'autres workflows faisant confiance à l'artefact.
 
 Exemple de workflow vulnérable :
 ```yaml
@@ -358,7 +408,7 @@ Si d'autres dépôts utilisaient **des dépendances de ces dépôts utilisateurs
 > [!NOTE]
 > Dans cette section, nous allons parler des techniques qui permettraient de **pivoter d'un dépôt à un autre** en supposant que nous avons un certain type d'accès au premier (voir la section précédente).
 
-### Poisoning de Cache
+### Empoisonnement de Cache
 
 Un cache est maintenu entre **les exécutions de workflow dans la même branche**. Ce qui signifie que si un attaquant **compromet** un **package** qui est ensuite stocké dans le cache et **téléchargé** et exécuté par un **workflow plus privilégié**, il pourra également **compromettre** ce workflow.
 
@@ -366,9 +416,9 @@ Un cache est maintenu entre **les exécutions de workflow dans la même branche*
 gh-actions-cache-poisoning.md
 {{#endref}}
 
-### Poisoning d'Artifact
+### Empoisonnement d'Artifact
 
-Les workflows pourraient utiliser **des artifacts d'autres workflows et même dépôts**, si un attaquant parvient à **compromettre** l'Action Github qui **télécharge un artifact** qui est ensuite utilisé par un autre workflow, il pourrait **compromettre les autres workflows** :
+Les workflows pourraient utiliser **des artifacts d'autres workflows et même de dépôts**, si un attaquant parvient à **compromettre** l'Action Github qui **télécharge un artifact** qui est ensuite utilisé par un autre workflow, il pourrait **compromettre les autres workflows** :
 
 {{#ref}}
 gh-actions-artifact-poisoning.md
@@ -466,9 +516,9 @@ key: ${{ secrets.PUBLISH_KEY }}
 
 ### Abus des runners auto-hébergés
 
-La façon de trouver quelles **Github Actions sont exécutées dans une infrastructure non-Github** est de rechercher **`runs-on: self-hosted`** dans la configuration yaml de l'Action Github.
+La manière de trouver quelles **Github Actions sont exécutées dans une infrastructure non-Github** est de rechercher **`runs-on: self-hosted`** dans la configuration yaml de l'Action Github.
 
-Les runners **auto-hébergés** peuvent avoir accès à des **informations extra sensibles**, à d'autres **systèmes réseau** (points d'extrémité vulnérables dans le réseau ? service de métadonnées ?) ou, même s'il est isolé et détruit, **plus d'une action peut être exécutée en même temps** et l'action malveillante pourrait **voler les secrets** de l'autre.
+Les runners **auto-hébergés** peuvent avoir accès à des **informations extra sensibles**, à d'autres **systèmes réseau** (points d'extrémité vulnérables dans le réseau ? service de métadonnées ?) ou, même s'ils sont isolés et détruits, **plus d'une action peut être exécutée en même temps** et l'action malveillante pourrait **voler les secrets** de l'autre.
 
 Dans les runners auto-hébergés, il est également possible d'obtenir les **secrets du processus \_Runner.Listener**\_\*\* qui contiendra tous les secrets des workflows à n'importe quelle étape en vidant sa mémoire :
 ```bash
@@ -479,12 +529,12 @@ Vérifiez [**ce post pour plus d'informations**](https://karimrahal.com/2023/01/
 
 ### Registre d'images Docker Github
 
-Il est possible de créer des actions Github qui **construiront et stockeront une image Docker à l'intérieur de Github**.\
-Un exemple peut être trouvé dans l'expansible suivant :
+Il est possible de créer des actions Github qui **construisent et stockent une image Docker à l'intérieur de Github**.\
+Un exemple peut être trouvé dans le suivant extensible :
 
 <details>
 
-<summary>Github Action Build & Push Docker Image</summary>
+<summary>Action Github Construire & Pousser l'image Docker</summary>
 ```yaml
 [...]
 
@@ -522,32 +572,23 @@ Un utilisateur ayant des permissions de lecture sur le dépôt pourra alors tél
 echo $gh_token | docker login ghcr.io -u <username> --password-stdin
 docker pull ghcr.io/<org-name>/<repo_name>:<tag>
 ```
-Ensuite, l'utilisateur pourrait rechercher des **secrets divulgués dans les couches d'image Docker :**
+Alors, l'utilisateur pourrait rechercher des **secrets divulgués dans les couches d'image Docker :**
 
 {{#ref}}
 https://book.hacktricks.wiki/en/generic-methodologies-and-resources/basic-forensic-methodology/docker-forensics.html
 {{#endref}}
 
-### Informations sensibles dans les journaux de Github Actions
+### Informations sensibles dans les journaux des actions Github
 
-Même si **Github** essaie de **détecter les valeurs secrètes** dans les journaux d'actions et **d'éviter de les afficher**, **d'autres données sensibles** qui pourraient avoir été générées lors de l'exécution de l'action ne seront pas cachées. Par exemple, un JWT signé avec une valeur secrète ne sera pas caché à moins qu'il ne soit [spécifiquement configuré](https://github.com/actions/toolkit/tree/main/packages/core#setting-a-secret).
+Même si **Github** essaie de **détecter les valeurs secrètes** dans les journaux des actions et **d'éviter de les afficher**, **d'autres données sensibles** qui pourraient avoir été générées lors de l'exécution de l'action ne seront pas cachées. Par exemple, un JWT signé avec une valeur secrète ne sera pas caché à moins qu'il ne soit [spécifiquement configuré](https://github.com/actions/toolkit/tree/main/packages/core#setting-a-secret).
 
 ## Couvrir vos traces
 
-(Technique de [**ici**](https://divyanshu-mehta.gitbook.io/researchs/hijacking-cloud-ci-cd-systems-for-fun-and-profit)) Tout d'abord, toute PR soumise est clairement visible au public sur Github et au compte GitHub cible. Sur GitHub, par défaut, nous **ne pouvons pas supprimer une PR d'internet**, mais il y a un twist. Pour les comptes Github qui sont **suspendus** par Github, toutes leurs **PRs sont automatiquement supprimées** et retirées d'internet. Donc, pour cacher votre activité, vous devez soit faire **suspendre votre compte GitHub, soit faire flaguer votre compte**. Cela **cacherait toutes vos activités** sur GitHub d'internet (en gros, retirer toutes vos PR d'exploitation)
+(Technique de [**ici**](https://divyanshu-mehta.gitbook.io/researchs/hijacking-cloud-ci-cd-systems-for-fun-and-profit)) Tout d'abord, toute PR soumise est clairement visible au public sur Github et au compte GitHub cible. Dans GitHub par défaut, nous **ne pouvons pas supprimer une PR de l'internet**, mais il y a un twist. Pour les comptes Github qui sont **suspendus** par Github, toutes leurs **PRs sont automatiquement supprimées** et retirées de l'internet. Donc, pour cacher votre activité, vous devez soit faire **suspendre votre compte GitHub ou faire flaguer votre compte**. Cela **cacherait toutes vos activités** sur GitHub de l'internet (en gros, supprimer toutes vos PR d'exploitation)
 
 Une organisation sur GitHub est très proactive dans le signalement des comptes à GitHub. Tout ce que vous avez à faire est de partager "certaines choses" dans un problème et ils s'assureront que votre compte est suspendu dans les 12 heures :p et voilà, vous avez rendu votre exploitation invisible sur github.
 
 > [!WARNING]
-> La seule façon pour une organisation de comprendre qu'elle a été ciblée est de vérifier les journaux GitHub depuis SIEM, car depuis l'interface utilisateur de GitHub, la PR serait supprimée.
-
-## Outils
-
-Les outils suivants sont utiles pour trouver des workflows Github Action et même en trouver des vulnérables :
-
-- [https://github.com/CycodeLabs/raven](https://github.com/CycodeLabs/raven)
-- [https://github.com/praetorian-inc/gato](https://github.com/praetorian-inc/gato)
-- [https://github.com/AdnaneKhan/Gato-X](https://github.com/AdnaneKhan/Gato-X)
-- [https://github.com/carlospolop/PurplePanda](https://github.com/carlospolop/PurplePanda)
+> La seule façon pour une organisation de découvrir qu'elle a été ciblée est de vérifier les journaux GitHub depuis SIEM car depuis l'interface utilisateur de GitHub, la PR serait supprimée.
 
 {{#include ../../../banners/hacktricks-training.md}}