From aeec8e28f00bf1af9e80604aa0a33383b1598e1e Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Wed, 25 Jun 2025 00:23:31 +0000
Subject: [PATCH] Translated
 ['src/pentesting-ci-cd/github-security/abusing-github-actions

---
 src/images/CH_logo_ads.png                    | Bin 0 -> 27107 bytes
 .../abusing-github-actions/README.md          | 141 +++++++++++-------
 2 files changed, 91 insertions(+), 50 deletions(-)
 create mode 100644 src/images/CH_logo_ads.png

diff --git a/src/images/CH_logo_ads.png b/src/images/CH_logo_ads.png
new file mode 100644
index 0000000000000000000000000000000000000000..b407c8929d67e14a8e254ad9bc76ac1e9f8525f7
GIT binary patch
literal 27107
zcmaI7byyrhvp2eE2u^~#1b3Ik36S9KuEA|_cMA{#1PBfR5?q55+}+&*EV@8&zr%aZ
z`M&$dJ(uTU7-qVvtE;QKs;hnzt)e80fl7=D0)a3-et5420>NFp{GuQOPlo5#V}L(I
z5NREVx|0>e)6~@xBw^uXW=Z+c!PMGP&C=Au+hx#F7z9FKw9(Lk=qM@(nL9bKnZC4P
z^Kx(os6ilMF)wFRb3022rJ1F*jiU(lNy{H<N*fCiYHeOc4n=1v%TG2Rd|WNneUvoJ
zeeBEyEvUsrDTTd+00s`05K~Go2YW|1Aukc?|L_$8?q43WQ&aw@3B*o>`oDzIQB<Ln
za&on#6lCLMHRs^qq~r(gc=)&k1O@r|`B^BrIJmgkIr!MQcv-o)g?RaeIC&`l`-d9n
z(bd9ANbSAMfA<IcCqn%R0&x~%XZQ5<Wb@=^b8@w2=M)qaWar>w=i*`oTClo#J3>so
zSRLJH{)fYROE+^@8)t}(lOyE|M^iH=cZdizAnkt*!@>Fguyu6%Z&d+GWA`$3X6Iz%
zcp29JG*ndl|8MHx@PAsnLDVe&ue|@CjNLT6oh{kbEZv;kUCn{Xv!Z$F%2`Ot)zTE=
z<f`H1WdA>!RQcotadP|Q<V?xM%f?B`plE7t<M{G~@joPrib5Y9-5{op=9VAdi%<hh
z*lcVpgt&P5IHkB{1o?R+1vxpTr6pygWCXal`6T!`d1NHH1pkNjy_31SgQX+ne`qcK
zFRjG?O8a6F4$eT&?=4+zJS;6_T%8;!|1)YKoBv%F{{NNVf74q0@3IK|ue9udFzhdL
z`~RBj|9J!$(97-rv0mVx|6~7_j)2j-0@i&`@-G_%vQqi@UP8lb=_u=!7ry3PKNeM6
zB#$I~n9`nNNmL_KOj|>J;FY`Xs(ZDk284BQX?`t5lK@Xb<^B7Z3w#trNmQyIiEBwG
z+4q=lD8HmPjEy`#XG4YGat60r!!n;U^~d%nrlurcmS7cMfHU07jl`>$D<av;6&vz$
z6`y!{fg<#BPr3JU4a!9TuDN(mKJCAxA~8>KL84}ITaW;y&@d$1K4VW@{9KXlfTbMI
znWIzdhmIWH*LK23&-^x8>}9(5&lpQNvo?WaTKs=ZtY~1!pmqsmoJP#%_SYepK`qik
z3I@%nhiojmI{8(Irdi>=X!27PoIb{_Z6LJA0MqcUfAxn(ruSiZD8p}m>+8g0KQpaZ
zzR0y8Q6=cBgf}Ov!*1GEZ>K$KW)BNd!}l2F3P1j2sVjL(!Xft}xe47SCP6BXDFQD^
z?xQEakn0_Zz{dWAz3G0}Z<OUS-Dd1NxyDy7<ITo*8Y_!zs4?A6<9Y=PEk2rmtzTd`
zkD53htPf}i5Vv-VjGoOrEbc9z-rG|FuReO*>MAsSM*H+CJjw0Y4SbM9WG;epqt`i`
zOEy!^JNs6;?Y0df_3p!e%wdmo_SIFalG_=Z|JAG>v9;ivi}K9-2gI6ZI^LG<jMIS0
z9{<;ZMF$!G&FMbcOW8$Gvv#m6e-lr?yZ<oY&2RAqEXftmE?Q6sro^i`+*1`7LFtA4
z?@`x5+R0V~Xf0JIy4&F$+TAY=g1n_OJu`EtjucGk6ASW*L6PdkmM80|_exRsj*W=G
zM4z@rVd1BqhZ$1ZqX@%inuJz8qu$F!-ODs0yu8hhO2AD;<E1)zl>p+ei3>Meu&08R
zZejvf)A2|>HalN|?U7!UeTs4l-<k+B=c9t{JHG;SzR?<0{0TllP_U#1Zi9KwX6q>$
z``X|?JU<!tg!b<Ena(Ggo0A|@aA+FP_D3`~g!?o0wBfVC0Varv_iyrhlra+vDmff}
z?q_Zf(-Ra^<JX?R6shR;(Dd$%cRAwlp#U$flB%@B{TX`NNMV5O=Ei)%ntq=--`Bl~
zV?xvT$Xr?fhbhdTYz2;TuOptCTs*$OYI<Pu0TI;FJ!)>1_!q?h;Xm&VB*~fC_)%LF
zb-0A#ao;H~40o+zcNw9-^jP)%%QZnNILwfd1(6&s$TrNM^2nR&NdG@Nup)5HR?1;J
zGU!U=1}%La?P|y8Q%AW+eHmzQ`uogR1GtI<%3-pgiP7=zRpX(|fEC^74UFSlVds4%
z0abK>w<vI~#He7b|Ir$XAPC#zKPL3wcdtAM&eeN%UYizdV1Qctm`txxRgFQ~;uBPR
z9hy`WrLS)-ybwS+)gRto?KmU7Sm<X|Z!s6|7}EZ65NJ0jp=Fgd%%8*n4lv8mt1#hs
zQoC&fyEYnO_@Mny)Uq^bvSC#Oon+V$6d?hFfzY0v$}Sj99XnD7s`LF^e|X!wur^Fs
zP_EPjT<op)*1yau4WPT>MA{=IssrOrJb<pbS#s=hu8Cyk*C{gS8}yawv<f{rV42$T
z12jE560UVz7(ue2Dh!Mz`MUzi1?CM*6d}abHM4-~s}9cyeoz&wZ@vAaTO&L`(~$F}
zIA)l+ODU2cq!MuwzRDCPf>!a;eL4H~)0S&-Rpe{`K{%B};^W&uB@|zp6<}Qa<&3)q
zMVAhyp_>?>Wb1;e!?2%~A<V#x3rUhI#BXtU;>2`=K$u<9HrZ6Ns^9e*5kfFWSa%J4
z9}P_(0kw9hZcJ6r=kf_7lBMx8L+P0Oa7VGo;Xrj#wN(URtC9AAR!3-dyL)$}Oc8+g
zK@z`F?rX6x>t7Upqcq^{@7G)<8+O}G0|L=+uAa1>SQTMk(Y<uj%Dmgwvx8vz_k}Fu
zMsYz?a)x^o_3*XOoE{){YV5F3lpv^M^fPoJzn9R2^Glw-`~c9=dRGOY8W8!eh-o0s
zq7SWsX&gFPh$9&%G|nmK^&x^22-NyMqDsEnbc{G8p3&1T>egYahSUrbbjsx~c=d@B
zC5_Z#Zx`P++bmFO!4jC6j($JtBN>Ix41TG|+zjoJTZLPDQ=69;?|z`Qs6^f2H+K2G
zuyTtLwBBZ>+694<Iyr3$@e6_m#UmWqsGyRZ%1H&Qj37{2IyCI@ZTP2=q&%sKQJUSX
zf$G@D7c(@$!T(}T;P)D^wpW;(6x3|SXoqlss4RVKrce~sbrkIzt%>Rgm@lVT0_hI^
zOCQW#)pqIl!$DZVx%XNlP1Qqz;o+SmAP`zN=g}WM1q4xebyz#jKXDgt#fAD8X{}mm
zj&^U6xDPi`uY-9ZfV55l_i798Ub<JuM*~x2>`?A`;JX>weV2`Q1wvI5>qg868_5~Z
zPP{c7NLik*@`&u$0&;K<DJU17^zfTaHI^3~O0#Fr1COhM1Z@Y<dH9Fzh2mcE4O5OC
znD>jyS4?^-)<6~5*b@pks&Tl)b00Qw;_Y<2XpoTjRZUE|!^8Lz{{*5TMUt|t?3}E#
zJO$Q1G*`?e5R+iFchAp3aGzI$ZA-vv{%tuo&t$(!rgBP3AAZ$zxs)@U7e^qsUL&O1
zypuIg_1r*(b`Uq8^ggh;Cc7eSq`iO7ry>c}i;@3XuyBK*rOcUiz`)cTOdVeBbq|k!
z`|lA>gRZRZT~rJjLO9Y#<|Tsn_gBd3(%v9P>IsC@7=L8Ppj`cr1B<5IVXFvEL7|JT
zXzu%Zij1q_?xjUPl8Fy8HKd{qZT;!yV7QMVBAs>oVqyQ>q!{?Y$*!J}Q`wm+f@mOd
z=4@P#9PBH6V2wI@a6*xp+0j~Fuc@RC{6v;JHvA~!qd912TPb(I61F_9TuwN*vJ!lS
znm0a#UR*}DS;x$+U^G1ZWs-U9u**@(oB*Xcy*CrBua*7ijh7S|JbXsDv$k4J9jZ;+
zeX6>jBpIn2I_fpjWPEvIors9!5*yVG#-&cFHoBvXJ09wU_{1pFZf$rLlG6go8f1>Y
zJaZ}{c`~Tea;DU{aHR@4Gm?MJ(h;qgm85{dUkcaqhwPA|Z^xA%&5>jju<t0Ck>|HL
zNRBw5C@0l^!Xi_Z3za=0(Df2@KZ@EBQ=Xcck+6Uz*10J1lpDXL>CG-a33iZvG^09r
zS?sIxX5>t4>!=y%P79GyKaq(83>f1`)fJ><V5zb_K_?qD5E3of=>xp#x~pr#k`Ch5
zRh@T73RDNPFFS=9rU4!2uWx-yEcvQ`V=VFGO`YaCWVn2d>sh{iV~;Kfc`y+`%EtsY
zYN-)T`X)QxIFY;$sNN0an$A&3gKKzn;r_SmF3G8HQ6t4?sP?cSQf6azyXz7o<sa=0
z$Q08IKD<?8NtPW7^539wkq?Y7E{xs!)yRN?SzYl{x%WFTcoMVt)g%0{;evR<_B1->
zMR}XhVU8@v`wiLTcFq|5(GvycfVdP(hv32vm?w%*4=E`s1$%~{9$Z|8#s?~@pQd@#
zyu4&Ki(6iLJnX9EkqFrCK&wpSGcju1I8G6kmAA@kvc;K+3GOb=D6MPl8!hkjYB(fN
zML0zKNN-Rzl0$P_)JGQKD&Gt>egD4gILmXnA_95%c#pX+fZVa^Jo()?P%gL0*fX!y
z-u?%-paI<#{;b`f!%5q^i<y4(s3yTp&(S;@d7A@oZytySBPl$jliiO#Cz0LZv4rsZ
zy(U+=F_{$WPXY@WfvayQEd&+f5inbic>JGqVc=93x_~+9rW!XQP(>HnR{Jfrv=wX*
z+gdK!u`PztbH4XM&&8W$JaLe#^p~&A!L9ed8zK-aBB5pUkt-d4?D(_Kzumt=R0k(7
zzE`Ff*e#A~dTPQxhCS5PUQeVG?5e)EKp=$|RsvR^KNy_8JGu{V%8z9bddos}a83!#
zSDTrrngKo<TKD;1{jM&Oox7Xl+H<Py4(l$_lR(40`^pv-P1>~+MG%Ey`n&i3ynr`f
z%TBw-PTlExbGmX9-;ryTo|xnB!WKrFCbIzb%ckbOx)Zu^yyise>U*uajs%zvh2jV}
zdYH@9|E%=}*->8Twyq7biMNRRHrD4&hhH-OtEr=e=E;2TEXxe-4Q?(TRrX-OyJ8Wz
zRlr||R(<qR^6MU`riJWafEgJJk;gzq^kV#BqF%N1<wk3-$4<#wd3;JxXSba(R|zX6
zM*I=@KQ!GHW$~DNAj*VeLHOhKbe=d`XDNl-cI~6QNQmr}^-=Gr9TS*`07`HU8=JDJ
zfLH3zJ>=$#?<|77@dsTUON(y@8E=%=6$@(~;hdwcoAfRAxi!ZpQV1YayU^(2z+3aJ
z^i#}MrGTOITgaJa%MP0d=m`EK<oV$dR=2VIuB_5m_XLPu-#;>=H0Ot~_4q|KKFA1U
z@ABUL(42^y{#{^$TE)A9xErVI|H;<}F>|x`n$gw%>oSUjw!%a`*>P#uWry2_x4_#!
zN6jok-nODe^TEW71t{e!i^tQRYAyk*zNehORXtX2F(t&B)7%#6D|jGWeSe@tzLGeG
zo_2K7y&HtYDhV}H;y(8&Ms*LV0s`G&7Hp5^RlN$c)cZ+qVl$X`et3{^pf6oqwhE#(
z$a0fl5e$<rPNDCc)MvlUe=H1kj<FV$jy((1J`QD0&5J#H;BvVoG+(QArmwS;)*>el
zR&)Z9=GJuOtl=yQc|s7#p{|LAf%$3?70J11oD`I7%&#*xgk>x=5LP)HS_Xz<H_<`y
zT|<S{7rSMm8b%Q`j^ttdgK_xz?MNYx+!6$4<Q380#C=WHgq%fTj_u~)xgod-xXSWB
zR|XV%wQo{(g+DaY9i%X!G|Q18uLY&~B0K(Y?KbwDxRB+S8iAX5Eyg@evCNV~77!66
z`(fJb&l`rs7qR(VZu$Fu-|v6dlMZZgVlIS~MsS0izpfmq_?XHB4h?qM=0@Jc4on&U
z_Kk4#1>_LTBt2HCuAdpr^sy2(be~p2MS1T57gWkKb3b`sdHsW;T``1v1xuMM9xuNg
zKg3a0Vt#IP9_29f>_{|3>ib?1`1kb9$8cw4kmGJc@7cxOx&P1KMKqb4MvbcnA4)5V
z%`sLvM=?1)X&6^a_oGwiBu3y)u^;TuxckP5otgaycjYU8k4{K?1T;1Jg>fE<(kZav
zrh6kJnId3;$crn+lr0YYZT9oM1iIS{sA?d?v(%~{Lxxe_>@K?W=om4pK{>{;W!(W+
z(oKL2Mpk14j2DB;zh+iG)1f$q6t6_SRviz^%`hJE-n5CXav^M}=uTNHT5U;*_{<Q_
z4LZdknd_M-qrV%LbL(JrP91$)rg368%X_hp?RNcTC1rkiUJ?+P^8tO#%O%T?E?A$i
z(k8sTN;9H@O!cp=vsavZVrTdDG}(3W@b6*}$gRUcC&yPfj;}l}g4-Z6boo;$sinH@
zi@;TlW%zuczcai_qBJ=bEv!jG9`?c9APyo$MY6r)RNu+26KA7U4CgFQ(IG9nR}u}=
z$@g!u-R3v0`PLr#3K@WSE$wXp-!0LObv?q>U=ylcANq2SGuUE}8ce~=CjYT~>B6yh
z{ZF`KJ9jAElMO{CT#)q5PCug0V^jOg0*a+4oM<Fi!eW28JUdU{Xrlg?hiLvB*54^X
z$!_BPu~$<&%|I-yXKz5FI4<%{W>#}SXd8Zcz$JOKPW_}rp-Bvp(~}%#{M4aN0*Io6
z8{lzEv};WypeUv&&k|S24N1&OpqBlMhb!U{vd}2heDX_C02Lt!V_^7oA(1Cm{#HJv
zK)2wHf)Ky6uH`KHY7MYiWI|IL&xTAsOZ|nw)TFRRRzA4Ab_eE>FYl8vwg{g;$MNc0
zcx!=v8B?0DpBb>$iq+zkldv?ftZRd<&t5tPwj0PES#0{j{+t^#)2yn9^;^$ZqUM1y
z^+A^a?8-dk{keh|a=@Gr=azw!4xT04#m|A6TF>xKqP|}^eBu`Sx&sq!-OSi-z%d}#
z;f4rmot5Kll7_8l&JwwUXlMZ?h#lT1bOX8py<e5etgwkIteQz~adr-Cv_Luhd{#tZ
zr0lzGOhUQaVd=%xP(>N_P$w5c27ZGS$zx;8udd=;`{1NO%rh_IyGJ3#zz)V8<LEOo
z^@kFSlyP*k7s!^DYejEJL^W}G@!vlxQ*$@Ccd%jQZgq(>EfFZtN(ZZ{+}gV;*tab|
z#bqsb?-w-q>^Y*o!CiU3xfzGc#KO}0k?%G-%KpnAb$dTD_ZU2UZT5;wTs-xJjJ-{T
zEb|T;PmE5OXXvK-bY{z!ycRL=2|F7}7?Mfme&~3**xiHAkyQg+Z@5Hq4hi)*F%%j;
zP${Txg;QAycHJo}2t+fyfUZK;ECtz~mx17<Kv(&ym<}t2U}rtWSUBmc-A{RKQ^wh?
zLp@yzIQD#4XhNNcSHDW8IzKX22Nkvax@|c6s$7Vuv4K+W&D1OHIG>wE3<hFziK}Cb
zqVfzH8(*JyFVP~fJ(ZNYS9rYPKihzLk9|!clDU3%Amp97w`#$#z7V<BP)k_DJX|c6
zw7TjLya_+u{DYPEk84{R`9=ce4i}~QzUM*M<@U{AISPY}EP08mBmLLbI#fuXP76j4
z^FJM*WPN%(AWZjfi3OaW&t(A~7aAX`_4f6OXr{*r&-`TZUYZXv$B)m*=&VWFt#!oa
z)-nPj9@i!_0sMWpk~4ooa$DGTg~fWN$$k;4A9ov0!vg%?+Scle_wbj+7g_%4nJ%%c
z)=)ogI_OOhZVA4_V&Z;qGxnRvvI<-ny=dR&z3J?}nvUY6<?)03^2<Z&k05Clc7LXX
z*i0*bt9p{0@&6rQld9+v7@l?*y57==#MHC0vN$=8_GW)R=grTODR6?ZYTg;II@^bT
zv-F0no6~@|yK`3!;mM9B6o814@we;fDbOp7Hz4&#WxOx*+DQ+X2|;-6V}j9axbR1z
z9L{PC*kZ})*}ylnq<??;v$e3rj<vme70*GGg7<WBjul;}gVMy#<hcqqe~Uq;S#p1$
z@m*-*aXMl!>sYIAyi(fgh(7DLwt>8Jas@{FQyH`WKfZsoZ71<vKCvuqC`8R}!ib#n
zublis(lTO!V+W6u5`o^GoAB)Xt(7_v1;rt_YGq>F@7cX(r#I8a5hh-m>iM<r5JsP+
zC0?A98p&5szLC~hOp70oifCP@oLuy=fkuiyJIgI_X*6u^=W*Ax^>q{rI#JZg=8;G5
zSAn~yKtl#|`5)tfIk6Q>iUdZ9<@fjAk&o+6r2Dl5*vfCQ7Zi#IQr8VK1D$xSavGh!
zz=#n_TI3hR6APWV%_AIli?0}?yzfsj*TEDYBGc{(MbX9<Z|dx12f3H6u+M?RnGkf#
zKuYYq56$16c^94HPX-X+t_F-U+-*I=lqg=+y(I<1TE)nUks!_T({vVl$TjEHTQ%tB
z(1kEro~gI&<%K;z^aQ$PopndOsY!C46~C4(SkaOD`4p^B7Nr{F(@hMIU#K5Exy&}(
zIS&4qd>fNOF>D|WYyX3p<SQ!P^7*aqovX#(o!6Vcg;^xfdC6(mDk|r7-j~1!Ev)9_
zlE0s>WLFjFcaxMDIo|D(_K0~E6uVw0GM|dv?}5JGZiwshX<IhxQS{@+v*sFRi$_$j
zgT<r`0y?||`2yQb39{Tx*+@4LsGhAnP)9S8ESC25D$<`G0<}n(GKSQT#R4ilG7u~H
z16Li=Uk(Y$SKXQHYI_CG7aiSeqQx;R{=w;75cSv1*ltgeTBs!9)vgf0cmMda)`k~<
zO6_OmHwI;Nt<6}RH*~u7Mb7fF4ThbJe@IB?ZFeDG>}-6Cx(~z->K{HO)rfkX{d%f{
zs0t%@SL@Q+*I~O?3JYop|MtM_d06-Xsl@N3Lx?|pV=(FPl*v{z5Q8^|KaHF^xbM++
ziV5YnzKlp~2r0cjUcyld4CF9eG}<CHZ`^i*Io277AQ$kA-Yv2G`C`KbVFer0*c0}B
zTz1wUp*PZtT>WX}O+u&l&m7+W%BbW>%@V2c=w!OGB5&LAuD`$GSuqc5t>eO0{}iX;
zxy3&+ZxIvR8D{`%^Cz60+j!T(sY7oc#$N*|b%+7KGFw~IKlg}gBG@=@d~UT2TRC&U
z<4nbxpcRbhX{~$r#VT+Dga3g6V5OaN%zWQbDiGRP9bt|sK-bN4%!O2h4M-P=V*YpU
zB@Bzp(Lj;)!e%S^cT`|g^EQQDuC5vW`i<C$nt2Mm7~sw@YAQW8+un|g@a2xSpL;}_
zWA>9fE09m|pohdCwfZ*~X-#VKABWKhBfdHqUprLtT;uqv#THk)ZQZy#rywX@mRg=c
zZOQ#MHz7sde19^qWKlNL9IKzw<cVb!3b1%sKt$%9UWYB)GUy;YKKvHQhBZ3k`ro?n
z3-;PdH!=)yAdG4^_TB0~!{RcWzL4ny-WluL>Z(S_3zvB5jXhl<M8j!_1ymMld*+cj
zg>kqGE2^SQ%We(C9`(r=!y`b_y>fH@(sr<`ASG4{oFj%=8Pmcu%Q$>C;`6?dbB}d!
z?%9sKA?KDS7~IE25t@X24*yNWS@hmR6#;NFHZG=w*+$0KzMpr*#=TQ5fy6}?>;xL)
z(b@{iET$AoBTwVgXvZx<?9az3kmmr!kFCm~HG35h(Xi2*k&?b{@M<LjE3C>{$sn$t
zr*2+sW{B8N28GGHXS<tb=jGf2hnt!Yn9dku6BHSuI!y|XyWoa`$D>I>)oC6}?w4_G
zM%XM*u1zYQF5LiOa&jDfqfUfj<K1o+E_QC9VNz@u%R>b>au^BsB@p|3-3ihRHh<Gk
zXQHHdo}L@apAKYG*<jC!&a5_&Kv%5R#OU$lz-!Bz^07DPbOJ_SIlFwf3M2S?;I2D+
zwX=Opa@Ay)1o(a#ojeg{mfB>v65Ww?VH;x7=(WNb``XcwZrW<CZOG=dXE5<|91mht
z&szU|n$=#lw-25Ao|5&c`+yJ~UAdLVF*cVV=csaK_)Y)MPa~ASrC%v7&)`7Lkl!-1
zX>YAj3|=-^4~arMylc3+Ee7Q({y6qif_IKYBAAf*cs;(zV|KWe>EV}Zyf%ziB`p=t
zF!*JY$whP**Cpw^j%9iDTAIg45{Gp2op9k;ImJnvf1^W!<ypiJwC7BRJ?q`T>F|GU
zXN}(9n~Z6v$Hm?;oqG#vxs1TeV&~grJ|Y>mHl1RAU3MPFlD;zQ(`cDaKE}$WhmpLy
z7dW5fX>lE#ZQ0S8L_7JE^9baFd}D!ypLoxw5p4b~@$4sdgN>f`J^G`h>0sk}r0cD_
z?!qkWT`Qm8{3wn6ADNMIVPzrz%DkLSR4;*|T@hju@Pu1Jv2Ols1$ZOPJw3{B1LZ4k
zd2L&+a(A0(a=XpWMe#2NN^@KzlBb(;axQM|JW^;1{}HvA*rWbs)8a_$vwNrb85a;a
zT}-JzrtD96)I=HjPcb?FRm^oa!n<IMo^I+nBwT@pp2qKx6dmVcE}S^Ae8NYXlzJwV
zd%hQzj_wdVYE&cUs+pM>KV=IXBMiRQZD5kA_*Dw(uOKOQNUcUE?IKh>x6jC1kMZ?m
zD9%i0FIEc<_-!AR@9RjSv^+hlQ@UODFhug1Ono^WM@gQb*SzWmJ6ohiovOgRlk*6-
zPS+t;-=1-AOOaO1fUWyc<bwtT!O(BkQJ@QydFec;xQ1Aa+Ul4+wW<@EjkVUp$!pwQ
zOT#WUt;~k;3)IgQZ?l2THeWaHL3EcB9{%@<e0$2Srb<eK-XQw0xA<<_xAK?fG0VFj
zgQxQA2Rm8YEXb!KnR(++Dsff<q{9M5!BQwM)FA<Auww}|U+t;w>8marp^fj0*UBVC
z+qnN0382J7K3-y-{Z7{%xtuu0f#32KTJ+*=NSA}0>c*KvL}^{_KDiKu-TPp}SU<-(
zA1AeQ4$Xy|#UrK83IFvoU!D2(kVctN1v>BGmaF_TAsaoKK{`Fb|A>NYL;NWN{ZVLT
zI`lKCz9d3KawpDl)u#aJm$=Sy?1FquTKl*tcY|(qecbN%3OQaH78~EoMno&h+|L*9
zvVmPu9}cY4Bomh=-0NvLiervub6wu;x-)%|y?W>!Q*GX!bMudxiET!thybfi&yN~9
z*q`An)NTk(rJIN|1O@vx374r1ifr<BxG&DbO(WxxD>-SSO)%oKE&uKEiyBv4Oa~f%
z%L~%cpH6Il_`!_)C3-W)Kc}s<4;{5%;0Q-3j6o5Nm3=SGaUKQTwg|0qAc7`d(mh3N
zw9%U5@v3$STHNHi;qo_*w{7FEACty#t&mv2db(@v?84uU>UeYV(`<YnjfvuSO3>uZ
zcPp~5inH1x&CFCQ+gRmd5%xR5ksFOE-?B&+IR>X2*GFW05t%zkw!H*DA_>g7j35L$
zf1P-rpd{iWBn7Q^JKCY^CsGs*L5#OJ$;PJIm13l4R`51PC)2d`>fU}9l~1fC=^%E_
z3M$W-@p9Qoi_{|t?9khr+_KHazZiDGB2y4yPoSn&mEL#05m-V9Bw-?n25}jr6#%|*
zcT@razw~U;*S4(CZRGF5tJZ>O^0zNbXu8Le5JsWu{NZg@09#QuW@N%YVb^(VCU&$S
zZo~q5T=j9$z8Ke$Tj6lxgU1cw*iL!*5*BtvL9lV3I3-b$O~DS=1+()B>8a40qAX0y
z!=ev959IFSX%v{1>Bd{{Jzi3z0^|99XTd_cLUU7XNrk>@6O&QW!(-#E*y>8<i*;<@
ztyaKkK=Gi9i1_VuU4mLOkzL2X9of|{S^C2AP+cax4Z<jv)%^ch>IWBz7W&RX^=q@^
z2M*30AOtI^48<nPeK|+nSes+$#9SdwCY%d(d*jQd_@I#@2;#$kR92*6P0BNl@|D?U
zhrc9(np@w)d3`4{3wW1QeDo4R0x{@pv0+MizBPToGpiCGg<9}0D0DClMYuRIJEjb}
z86a4s3hv!p5ll+Qkx&-lKrvgB@d#Ke6pRQcQn7%>?$Ur85Da#`)}Chs3b9GFW&3mL
zu=rO)iTAJegn$KR;<8_Sx4NaMWNjFBl(|`8qr4`DZMQ2sIQI9=0s7+z!HK7=ha=6+
z&S&}S5>WqpNP6<cblubi(cNvMc04@QpkZmswUmn~wus9KWl6^*PlE;20LyPbA5maj
z<}?;o89T$^IYJ^98PC$Ic&+jcQ{o!iIyWt38%POmpD}G@A7$Qm^HYNx$bgu0>`V&x
z`)w$i0_&doo8t4%A*zz~LW?teAw;J<SNf~wb@S7OW=60z(~yhfdi>D{O7SXqmcgIJ
zn!UyJ>TA8)w8FI2p7jQKG{1^Qcv3E3i*KzPUC~=U-6gyfJ|Suu9~tgd);;Tz08dHD
z?^Q{)n)s;kVWr4I%QC4X4Y}fxBDW4MnMZv^@T4?S9Pz6a>5l)gL_sq3cFlvHq-&}T
z+lxKTXtMH19K2QW>#>Dx2#Fz#-9I>q9id~zS?oT}E<fd_jFd)D3w}|Jcg8R<9ZayT
zgpdE@ZdGvSvmd%@+)L>q(2R=p@(gng*nm(`J|z;t1s+o@DCFhEr&df<h4NlW_2k^%
z)_)S4R(N_E#l*o|KcU!Iv6nI|r{Lvv&y6S3|0zFDOw9jlVrOK#49)GA+F@{ooJ=t)
zP<TkS8!71-qG(rbCxEltW$b#g=93UJyaZ2siVM0Qs)qlZi79njVm#CYt7F90-k(Mx
zqbAtn&dbDXRQ9Gw3-FYEM5+2a^gL?jw=sTuoD&zGhP2{XWz6;`fFR3fj(kzO<%htR
z5+<O4rlunu^w-YRucurRMQrR@KT>np%rXuR?^~&W)|Dc2@#l*VvrhN>R=5}Hntzy+
zig78a$z(JXL`2S}^zKe%S3h0;(<!Mq_<$psdplkbeufKy6#Jx)o<~#;FhqU=zi)+8
zzv>U-pWR=q?9>&Whuh$*_Y14aAITZIdZngob0~(E3#4xU+2NL-kv+Wm?JdQFL6j%+
zP4u=79;KP2zE(<J{@y8sY$>_~FeNvdZwiG_#rJeKcg4(AlL$J*n6Gvuk78rP8VSyM
zqvU=dJ-O_NsTbCyvv2&`d%i!!q!qP`Bb4Pg6pA>oO`%Y3+a(xT@jkMy^)L6(j;QeS
z5Z%2oixR97et?bD(%a8K_tyK>@9zJF+89f4;Gu$V+`l|D=fUybXIYL8DGm8)#ix^k
z19gA;T}sVO%o{w)Q|>v2jN>8XqPpt7%m3<gRc?R&e17rR-qs0ZV<dgA5vPFy;1bOr
zOo`BJj}6yBgYG=L65@Lo0T0QEoj!qew7cY<ePL}b-5qeJVb~OMD%BgfT%7Xb#0^E|
z@=aZ->}Kmc>)`QmHys#EC4C>^)uC1|1I->OSTN$BT71{(S$+IDnpHE;=wUp%zkt{u
zruFF8NodvHXdtpvw>Kol^bQlJkC6{zMyb}O<2Zd}cLMUGgQzKs?J*%^{ckmi-jYf|
z{Sxypz*R+srGBh?^gqde&?(3SBZ3UV6Ns;1##H6Jtw!s58=jUz2ig2H%bo`T%ex<L
zZ-JuYY*ZdS6Z_uCdz9vcP5fWK+MKUQLCT$nmj?g79fJ(YBIkEJk5LLnKBEl1q0UJm
zvdUP!X4zeCkRkn-eym`7B1a^D?kcHCevlL<ax!ELAPDLKe{qY~^dYT=wZ0J@+N*sm
zGlSI8@652AL?Wjvxec&OmCQ-Uaa^QPC3q6dU~5*(TKIQ+ziQcr8os%OPz~tfcb!PP
zNT9t#(2&{K=PaGD52!(}H(En$h53w<EE|6+T~(;)wp!fdn=VstM+h@_45OFys`Vme
z)kAWt6vv*BDp2p<rL^UwX~e2k;zx|jQ3y!x{A>!i;MHX#?YUgg2Qo)NO`A&(t?&9g
z4$|XA(F`zChjFY?g2%D7pO!wWUzVgC?dS|~&Zcus@|k^QNAhnS%BJv?q@pfL{aNNb
z!&o_UknHC6rhRVCBl$4SK<!)Q<v+XUP-AVoK(_XTKaTcC8&`}vYmK<r9is+%3=BWh
zAHq)0k=dWPVex&uyG<2-hn1l{&roE}a=QsP2cO$@`z_1hK=Q_%r~zbR(dPF{!7SOH
z^XC^2W5+mMU5v68{qCZo>=ZdVr4|a0ceNFA!!cE<{<M4M8dncMr79}kG3ZeHT-So_
zeOKRX-;IK6-c57<3e`3%9Za*69X)%&Wt1HxjMl+>Og4|O`_ps$@}%iXWWF0(NmD0=
z&{yj<hPkMBZNA}Agyc)6c?vklK{^2g%!VHVAB?WuR`2P?v$Qo`1QX0lwn9YbQYbup
z)K>tjciGCfj~NO+A07Yp_n`?+0OemI&01Dw>M;XLm$6$Y_6E6^aLs@l{*cH#O+nMX
zVivCd(+R?;b7LKIAVpv0Iq6T|@xR|QmIMyg!3V47XyTKiXKG9pW35NkY3nY5&0j^^
zHosQa=zi(y8D~$^h5T?5Zedi~Kk~bADMX17+IZ#G>G`pS-pA2{fpjZ8NawehxSsFR
zE`HX^W_)-yS{o#$Jn4DV_&lfDMV4RTk>YV@Uwrj`#@vtMPZd5MN-#V6Tv&TO(y;Gk
zzsUZAWRmi-y!L9Hx^9lEy=E&ei`}8;*h4N5{wi4}B#^3qj+%?F^1ENhz1s?P-1}jn
z)~I*@XS$e8?lN;?-WfyCMP5vV7GNOB+Dji(dP6+@&`+nPPb{dn>N~b^OMdzt$e&)0
zek0Y#Be-yB$G(^>@yVE9iTJ#d@WCBdfMe8$I!=rI1kri{WF&93TwU%k360l1%d*?S
z+(C3v#GdaNd-X>qBGBGT-BL{sgEX(RI>nsDNlOE_xPBH-f+DY^!S}K>8Jr}soPLXz
zP|P?BujbxZ%$t)gy3}No-K;EEkvG=0T`!N}jsyQ~0m%$2KFplCf5Ci|co8TQ{pYOY
zO=4D7vPLeHkE^_@dIKb+fa160uis$5;fSA7PY>b+_>8B9y4$6Ug}(I<-&>sE+&2kJ
zt8)9R`^MPQ(*KsD`!^1SI&dJiDK;|CrP^xyz$0%gW+K?#WXzE*RV5amwLnA|P8nBA
z7<CDi56>YiRlc8Bm1}3?Y0IjyA<ErIQb4tGBib&s$(U|<UmMuK`V$NA@AGttb4IOQ
zpxl2~*jx3n`sY`C$rd6-ZFack=1NGEBVK19NL+LH_lkpC5gD8>YK%?|tp(t{aM@;u
zQ&txAx}mU^A}#gnY=hl;V1IXkoNN_%clbDe-qC3>jjJh_%v>tiEz8AHpB=V|spIAu
z%D;`S*=7Q@2OZX)6Z;>!`>^#6FM=C(kEq^@)_dZ)6FiT)-v;xVm3M`}lKY6`J6=Mh
zQWsCnHeu|L0K``OX5auL0H20hu^i~dH%@XU5DIm)S07uVDLxGrB;wH7*ICZ0_Xy}5
zkyEzbvnlaO8;>O~7YG~r;q*Dbl~f}bVb1Gz+i2hZ;mzH+EZ=aP=U9jPiuMCBeM|jW
zEZoULs<dYvbMsjfGKJyaw8Lo8*IMa6u&-K*k^FN@)^=>bnHeHqd(qx(BAN&`Dnh$G
zG4hCN=LT2LWj0(ZxM5`Pb-`T;cOnwy@3Z4#Pu{(A?Ii1;H?SqxDM&~ZkJcIHO!Zx4
z9uh}sezgw<wJc*r@-w=8gAc;nG(xC+D5Vg2sJx8mxhzb7jAz_M*H%czhzhF*kSMXr
z&Kfg+zgD*9ISmY`>H57A*mx@)gVs!yiE{y0;?v+6h;p}CW`rZpJ1bCvTsAzXm{<q9
zRtmh3bxO!0+N?9JKg_6a{PwgaLN%qw4Imo~y}Q}GS+GJXAS1kG^<ykb3@s6B#estP
z>!vKXoN!8@Z`Nn<kAJ<U?>;3wu^npnPKX2&$%s7%6|(f2I|e48zIf&psPf=Hkrmcx
zuwrnihUQ)D2pw`fKsk*3NPQef^eX~c%;$2keJEC_f8~RF%dPu7&%8O2PYDMtRQr~N
zS%4);hm6Ma4&KDQk-lk-?@xfy3goe`Otj9|I&JD&W^-X#b=n}|wGV}+$nslY_U*KD
zU!zrF?d;tB#tjeiIT0YPtbK;|uF0*ZlD8$V$(!u$lHgq!mH5>AvfHcJVB|mzTTrKu
zJ49!+4&PpEn4FLs?ij9R%*inO8sp}WUH;5vzAqV=E$onJOhcx)h3jD3b70wyovMx{
zC~5gt;dLY(0ds7mgFxBp5ix55cx&8D*ojFlj$duEnXK(z7gpEohQ>G_U1~QBDk&?Y
z`e@^c4Ed)|hTf|Dc8m#m8`Q=H$!eMRr`i+tb@m$f(%e`W=G0L|&teMAJ?vQ28}}$|
zYC-@2L>)LC9)I<)+HG@Mz1y1ECsF%1a1&5oH0<XgIp{r??1+6aXJHw!FS>;gr1{By
zh5*xlHg9x5*Sp7LdE(==QG@lKq2}c$HB?*X24rBs@iVgrXpv7(?KqHt#NBUIQJq71
z`o3`}%{3wuV9(&(2CI85g$4xo*C-dG$zb-^N2+y-F3@*{=2b9v2u(<KSqXpKZ>>6T
ziFO72)%z0-AU$`Y#{jh|W!#Il&EcAAi+6lKks^#jgtI7ax*3N^3e?h7pH!D5;7#^N
zz`2VTf6P0xO=wRr`c2|{OLmj7A^e?fF`W{w9+3xY80a8pc3NqPp#YC?^J<t@5cY+K
zcx1iQ;9B^;2gtAYNzJ{Kn~5|Q>?=9(SM$QcUKp{Bx2Z*H6A|P`w-@|hWRAzY)O#NZ
z-{(?_5h{T?WPchwOKj?t>H8+;HGrcIaHRFBo!I$$;5NV#*Xmcb%%rg*U-OuCY1xY2
za$QJqU5E@!1dE($e$=Mn;Vog_L+v+PrG<Boi+{;#saE}o$^IOpb@j6c$GJtLjg=0r
zir6Qkf``9bJF3@+R(#r|!E$dXJ0&VC_gTV4l`<2QOaN&!Tm+d_lS~$N`XCt&ei#d<
zQ_<L^WICxrx{`G&Y`hafX=dNhu@B!8%O=hqm@s@tjcT^`oeO~fx}pA1pYUI#q-ALQ
zxbOSJS;3<;mzij=yNh#m?fcXlpapxL>0M8L$&}}EbQd+TO9HO{I;1$4S+E}$zv627
zbn~=G0A!y5k906P;omTAa7o+Y>~8!CVpFx2_{-v*_Kic8A`|liuxIJRLr{Gj;!Y3^
zH<4*e`YjBJ%RDWZhz6^vV5i~{qv9aR&0)rCB^O(QW;Fr2mdl0jUuV%nLOFNVzT1+{
z!(pSARQ$`z?PoNK(c4Trg8p`*)=Vfz$`9$GA`(I*Tfn7hDfVXqY^1?W3m|t-ZTXrg
z%!5nhV|U>EgukFUfl;P-?>f{bFBdm;&G>#b?PyNXMNZ~l{1Yo8NJV^t<^s*fJ;kYu
zDn}wgTUhE^o1d;lb0X!v6XOTXjv@gQeTf9F=c2}nU$ZlLp-b1VIf+6rSKhm+zY>63
zP@lk1XiB~RNiH=mn$oBWK+{1W*c*s3p3Z?-6*@m^qx3`y3(H@MAVV1Fr?}UTcE;=7
zT};v8iF+(2?I+ROduEa(7tB@73qCuQaLj;(cPK|6?K9iYSKEiil3KLX%eJg1EEO=d
z_~^{lNuAlL1o~bbG3^QUPH8XR4!F=Ze(Z1vso1ttH6&Z}1XY1s-Gu41j6Z4`yORn#
z`f)nq_HXN1n%7j=%T;<NAE8VvfFztS;y;7HZ&rV03wg{mWNK&~Jfe#*7Dn7%^xrjo
z9*i66voOpM&eaj;m-y*`WgnGTzn||fVf6f{B*JZcdkz(+008M?QdoU-5+-6>=&yaM
zv;+AaiMjWa;aA>)Bs}pnWWZdFAQOI}-hF}#Np|Z!sL|I@C?@CPF(9ddojT2KlipjL
zSr9#FIWg_WAJJz1;uY`XhdQ^b4dnWK)&HIzRH3^-3c5WUY>0{2*RPkJ9L!9oW68cI
zD%_99+2#LGG1Uqj73Ki5Z$Y0a-Rq3-Df>`I$3+~1Y0t2StoPODF9Wl3_48vVMD93l
z={Rbzk4L96m-+U)j(#k98!u<p$h{F1sQqPa9Wb)xY3XD=7&c*J>VMKHsO$Dbbt6)S
zW%g>ZmVGT>$pKKC!@p)9X@h4%w!D5vaGQ{``)n3uWb5?rRHsk1#YDuj6mqi<O#8Eu
zbLtWS=5HjS?W!G7x%BQk9!>CglJn^yRZVID!Z2gKHf`ZmS$^^iQ^U2~t_ZI53qF8A
z64+&ctlwwXTB)7+1)yHkjEZx~tup1+vB9NRTaz^W%=U-y0%k1nh@7l${JReIcIq{D
zlHsID+nTCtMSU}B$l7-$(K1>xJauJrdi=?a&3l`UFI<&J5628f*k0YZ%T=m{fe(V#
z$KH|)p7yc1$NDte?w(cxHQs1bhOOwtn=A5eFSUI1Rl983gSFbPK9}XmtSY`JhhIb1
zcB2L(CIB_J6>JwZmdII{Mk3NBYMv^2I`RJ8VA;J%x|$TA+D3@@Ml|$8SVZc}RGZ#X
zbTR$|&L_Yd{fM(GusOf`G_;0?9NYlPBqIs74u3kST;2z8ITS9a5&hBt44854A^*!#
zshrW@w|1MKdMva%iv;FhDTA_eyEn)>fjsA!q3x%k#akZlA){fQu+9A`9CNuJoR)>b
z)Jd^<yv#zA5xksCCu6*<!U)^|5MVP0?0sM)s9txJ>g8?RG({Tg*)YSDEGwgMh1*;t
z`?z|Wx)>M3rO?zsyGNu?E%MLvocNJe+j_D`?6~#;@{S$H`D&~$-Qcc|LGSmwc&#U5
zXl=aVh6-JFT|&Nj=CGz0QABJzsK<hRbIuTEORjHsnv}tz@@t=R)kmZ0@npM?5Ne#L
z2sKEShYP*}t8}JsP$o`R8$PEhFv9*klCpEP3fQ+^;IM3`8vj9yuhQ^<v72)tk`Xme
zC!b&i<u-&A<F9^9O(y>CF|K7fw(?IjC|K%Rz6B^T>a}o10GWC5Qth66uDsL@f68Y+
z2%2<WMaYg>byuU)kUtQE_5tpM1fvzS5W&S6^%*z23fy+5HL&mOX@9fjJ^+R(YhQ&k
zQs$=1C^LNPn?C)+qVOYUmv)HkqJ#T0v9`ke>NlI8-NYQqELzFPb0+!4E8p_CTYcXd
z@hX4&hPe6BHe5Jly7X&}M_9|n^-B%FQ?#o0*t)-5?#BS}cq^s$((lp4i*Ejpb@m^H
zYdi=x3Q5;2*VJ3X{<&0B(a1B3!b!&K*b81AKFZL982!x8B_KfF`Y2@Zxj(t_-Cnn>
z)JOsnMVwj7!EV;Y-<5ZautHkG$o>%PxUVf*!)B~3Yi)O$A2^}9*g-n>E~p|@d$(Q4
zKl!7+<WXQM>pxu=I4V8bkGH3|eqWt78?!XL{h)d%iR)e;Fw>d9z)_`3&c1~{HZt4f
z6?gqGT)Tf1>$V4ALH3rP>4t6Hv7Oc|jcDFypw(-rI8m*M_-L!DaKwM6!e9RCr);@L
z_+H#fyfu3C)3-4sK3D*R8>#76C~m3+>%v=>N?%t=OI@vsKSruBc7<mjlKJ!9rIQsu
zx+3)~+^M|<AGr?@jp)ObLM?KsbG(Ot-TmuyS!&`W^F0&%wMjdR9(Wt-ScdAQ&kSe7
z^Nw4@A?IsRy@1Dla{-ShvOoINueDWUSF<;G|7!m!U@Yv!+pl)GYaqYvlTkj)!Dhv)
z*7mUk)PJFcIMQ{uBCRe7#m>MPY4A;Ut6&w7(yY{~{5z67AH3N3W>q@}k`hoQFD+!W
zZdJWokZ54u=3B|6dmUu022v5gKMBumiT3vmJ$qN*S@l<Le}?;fKhh~_>Cs3u@-ZQD
zim^$*e)@Us>H_8aqp7D}!w`QuV@~jD4VByyoL8vHvxH^Wkj=oUnr^|eK9Y;h#S18q
zt;wnZ_lj1GR>ul~Y&-(8ugA*m#JKir_Mh}?U4C&E$NK`QiB&}9)%-?<WdmRRBHY81
zKQLDaC&A*Z!}9{&xFPr+`_HqF^4(*D&a{7kQGszwO;VjQgQn6f7P#U)Yy<kHYHi_5
zuchk?D8dl3<M{nt8ud~5Pp!6($6>nS1}%Pt=Xl2KjU}5j;kfOFF8o-l3W=^vEm3p*
zd{i!!@o@CPq{$H-GrTyXvWZsR@oUDTDZegUIj{fp(0)mV#|xCdJCNVW_TIyT%l}Ej
z)AnbBj5~uUeT$bwKF`?NB0GJynm9t_@wM0Pn5EmT-=(y+)i7<ewB*9|c7&HfUDLDh
z3Fn3$#)B&rYm=6vp86%Ol#L7J3zDDBPdDAv^&_<Lj23by==~3gPyi?Nnn6VU`{8Se
z_3{$_YuM}HT#8T$$*Kh}MKC>c@^^iq0Y(k$@rQ4?NK<9>_tSHVs^2bOTb~%f#mDi_
zxfG-i7UKyRf(_Vl5-}iGy-ibIS^k&*lw8w;korDhd9JlCFjgqFvj~*^o}G_>)_UAC
zHFS_&s;9~1`u+aXF@$F4Mue1nIGt#-hKbsl8W|e-^Wm%(SZhNb)C1!foo@>fD%y8!
zk=XFF14X{lwWKW4wG3btz2KeMMfcdoH{9r(sA%Lwo=*PV@hp3%?hM4aN#B#w!|MQL
zDvCdl)2}Ee|DXhLY|+Fxiyu@cFKZ?gO|ZwD8zTJsh_1(uH|ykew5$YncES$Uk_RsD
z#|6Zc$!ig!I<qH?RzpOA?=5G6a|&s=nZ~&lo1BXel2L2`?2JcH+D7&}fUg2jV^d!J
z!q$_2l^8CD*kA~DOM9c`Siq^jpUV>_K)Gh>S~RBV<wlQ4#<>8ZEo%cpW2{!jpY(ez
zRD0Q0(@URxb`#--l7&{=xIY{Dlu-EJc`#+UNU$kps|6V?i3VNU9<9D*fkjHy)%N;t
z`l=gjr_-o;9MMG)9xWy~Zf9iSTu_yGC&zv}4Lup<?q}+p{>BvTZTIp4NK55aex=y4
z9Mmvdie7nC_M-t-r#yN~p-H6OJcq9Lct$ZiGA3(xoby&;ta(+w1<9>dK}hzmd|46_
zGN&`c3HMQ&c7FhK+)eWPsP72?XG3?4c&>*nyb+H9XY75f&_ae3bd7q7Jep}J*%*F?
zEFrr|x!!qC*QkQYf!x0)<DP+geDNdqL}j+L6%IKB7O)$T!V=2r+>w8NQhYziy)(b|
z{UbsIWdRt!wKJji=!hlqlQkO7_%fLs2FC7kq|05CuXA_i=QdRH4{nKhhZdezgaEQ8
zs(3i=^!A@%PH_j0L&w&|fT7gh&EWmsfj$5$hB9@BOM8)}^k#57;X7w@LB$&24KyN^
z1wizO{;v>M)kE41H7j8n&MIegR7UGNal&tvmt_Ca;WgFYEuIXUX;wV_h&3jlooLp~
zvVhBp4qURnANLh+^wvIygM(H!>BOcqZN%8K<OvK`C=^<s3N!8Lc6l*ZxT0k<wbQm=
zsyTVHWiD0;MTp)hV+ldO8VK#zwK*;(X0=nrh~H~y-3;4!vAuEYt|R-+kY%gA>4@e?
zB#c?>8`ailGsQE{{U4L-228H?up-hnd&lk9$}v4#p3<-J72>tV%QZWZ{o#a`A#<&l
zuQp0^1?8!P7KuW@rIuFjC&b8?sK=`_vJiUh|GAPLJ3Kd{Ztik5F?AFgRXz`6T0oV$
zIIm9yeqgugx{0Lc4fn`NOISCSnHz)%IW7HaD_LSG>YUzgwK>dKWaRNM%R|vguNg{H
zJ<=2JOLDILe*et(8P>>d$QQ(kU?AaO8~^}S&=SqsWKsAjq_?wnnbyrK>iXlNRX+69
zr<HO<93p~g_VmLPH78rZzhwr7j7lbIosd|K-*}Fof3B6uX3IL;66&5lRpqpGx^TtE
zA1tOI{t(#a%N!>*3I3aCymhsUG)y487R_Gi8^UO8z&uoiwKY&}sQm2bg?0(U;`IDD
zF-@cKbfe!&wU?oJ$;NM@5^dyv$@^ooe*D=#TQb$ap)61t__hZQx{>-TP;5FOA3WRQ
zR~LtNw|#_}LT%VC7Bm#@b*{&!oC<^nLq*`sa0Gv6^Zfk;2aje!oS<BAX+1Us;b;gw
z6{_Dh30=YsS*w(+c-*%Ut%j(Em`a@BYAbi}QUw6$w~Gh;Qih&r#TY+h==i>*vHz4N
zECE!}&F#g%-b7~Uw+iZCGPKQ+;D1R+ITtd6I}RQ{Sw{#Ve3lNW#Sl5=DVtPutnjcx
zh+kWd4g3H(uwM7d!)iO1V~=Vg*+2#Z+2y1sk9Do6ri_6Vd^YonF2Xsz?zQj697#~q
zl;gN|-Rc6Z$5$zb*Q3p!qyjymY(HC}n3;?=ceP%xZ)}XL1;#O)6YgK-tTE^pz+YEe
z7EJZ)dD`h6o}p*y79TMunT2HYeR#erbCHl`R(ARW;WQw)Pij!#6yWEuuwWE<Tq1VC
zQpqQ%o+}q9tR90wbeWGx@!CehwHhny`F(UUf&-9y%%*+JL&$Mg-tqT&muMEEp4JSU
z{{2j5tl$2QeENv3Yy7!z-eOXhU}x)d)2j_a-`t-m`DHG<k(r|t^CbtCFw~-{F?oE0
zwifp$RT+KgT!J)p4J4J2w_PXOldmhmjdK=;`Z~*Qe-b)3y+|N6B7)Sf(+lPhN&!Bk
z%rg1=ov={UNep2+nq;1Mc&epP3&)w<vDP+Bq=~8yiPkeKV*GL3&ysa4m8Q>!xR_^-
zQ6k5fgIm@hM)UH*rx!URk#~vpFfLlUAsZWF4S=$90njhW$XL?G|I^i3M@1F2ZGY(Q
z?oyC$h7gceIs{4SP+(|~Zct(n0qK^K?(ULCx>I1Nk?wd8KF|BE^?iS_)|@l@%%0io
zbH{c4jxY;4j%|FXPyTYXwjU0@x%lhY{K_z=JbmP`<IJ3#`fFhnvIX_6P9e<(i^(P%
z&o;fkZ=dnG?ojYozMjFH#c~L{wKPSf-s!n&KP<CXJa;;JPHiC4$0&9Q_)jV|wH?4<
zk1U+x+=S~Epcik+swD2n6uPv0vq<BvQrai_BaT{fUUz<W)jv|J@ptI4ok9zTk<&ew
z*U>H@py%!a%K0T-!lk8U=r?=`;%#1XC7PKYS%DnB)qx*8xVmDKLQY}w>ulcgF^Zgb
zxT))BUCRd<pFVI3wK3G)ApUCt7-v`Y&py!R7C-xGM9wqiLbd62Ui{1?>NpM)2LmTl
zVy=dZ5^Bp$e^Wbtowzj~Cq3M3?jJt8o-|mg?UXj70~C;fgn-d$;O+G0lIh20>78fM
zCAkF-QG91rlht_c*i@EXU;5nZHw*P|UEdUC_gj}1D3uNH)qoKi@SsHz9)E|XYNq!o
znojg?03}lVb&34U?_#$553{)UsrqN`Zb-Nd77#TgiA`p%$Vv)$;gNEGGTEQsfZCJ5
zoPay=bCHB)BfI3m&#cG%s+~r%21RlMg;~kg)P-ik{diQK1tj0;6J0hL%Z6O5Exbot
zBqPsFz$s%FCWEi#3r94@yfI4<A5-D2@(5);^+dxJboWu=Hf*agz$<yT*9(JRgeE~8
z_}L}*y9|>Pa&enQ)^zuja~V?CzvbUFU&S~O=&&iz8(|M6_OLR^2Z!x*n|*8htvlk4
z`?J|2j6hiE<;=Hc?fnP8vbdO^2I1c(T2mlxOu;ulOud%vD&IQkDuJ6%$Qt6afo9c!
z%iH!B;^_Vw*7zq2r7KNvw^|xjei{Ff+Xti}jG8gz;Q4EAEW&uvXs2Nlpt7)I^j$`+
zwT09Ss{2vik051lVsZ}(KUT!@dawGz((-4V9_7FUm_oQM?1Nfs5X8>ob_3;$V+wsO
zSth$Ni`WkoWRub*I}4z@3Vaa5_g!IG&4GE5Q}a@Gvg2SX8^o?q%?*v{{Uk@74?PM%
z8p|rlE&Cy}@{_T<(RU8Q$y~6iR+3QI12rBCJ|}N*mdo<|y&_(p-0`5YE#(K)Dtnh_
zf>Zl+X7^w7=;AhUtac<Hv)tWBYl$*EeR0yg-$3E5)E&2u2Y<+a3f~Uk7%3Z(o&o;k
z)E>*&L60CXtrIT^$yzn6rRX)@Q~#J!SAj0X?JT#mxvD=st9?b*H=XXjPIrWUKqU^6
zRA)3}qNXUXXIkA|8E0O&arfgx(HOt$Hrn*xzMShlY8*<woVS;k5Ftk&9I8#|Xou;o
z8`*`a&I74};51Fb=_CxJ_iQP(c=u0{x5gr<a#E4QvELX`%7X|nPvoUg3L?VjktX3(
zIOtxAmu#3=3gx?XNhTFZ!y9x{Ke5RGY0l#(8?5{LPEKMXgBS#J0%0rX17!Gb^?LN1
zyP#yTUdzNm4?z9OsbvunH_LpD{*|__Kmq3Wdp+tWUDX-Wnox#0%U&iV(Ryt5r_)7R
z|L}*MgKTR#9lxb3Gi=hxPTn~4f{lX-fhhqB(JI%CA|^p02EaY7v5IgrdhBex$%(p9
zgiG6&*^wPZuEjVTdY&^l?*b3IxGHgTJuFRjRz}3?8}<~|*;PFRO053nH%9B`(m&&a
zXhbz1MVn&ne*d~@VIw~*vAV3@36vUf?LBXX4fvPmt=y~A_x*G%8CEYe&jZ&?rU$jD
zC!L^uA@fQ6(X&G>^i#GytDLtA`d;NXuP%}}$T}k}o657O=5+oP(C_}qudn7F?bQ(I
zQ55S)Y3u+rHH*l=hM~-5^ANY^VLi}={8QV+#V|%9ftX-EYv0?YTBfK**1x{IlZofh
z5A>dFJL)aBySO)PqPl{IcuQ!$WL@$Gku5I|2X6nb=Qg`TM^3dLJ?<_2AP-w@+V}7y
z)Cyz&s>fGbBd`1Nm(Q(tbrmE($7+`2;P}<qI(F(^i7-<6!zGJtriAUhs<Eh<v_(k%
zsEoMQXZeTU%ADQL8pU6w$tX|&cYm68RJ?vsQ6h@zS2EbcIwiN_VL#dK?N6_-1$rmT
zOS6Z{SLLLn3fmzp+iZkPt)<BjlBf0S5jli9{TE-2*Fo3*(OgDGo>DjlLNBw^1eezj
zSx5l(RW~}kmtW840s%+M&5&gMfT9B{Ia-}L;KUsq!VP5#(fOG2VF5e+n(*>Xi@R@v
z-R;<~)Y*o}1X@7+w-pI};Gmg=6RA!ZE9W;2W&-_Ri`}uIA>o3I1hujD+K4Cr7+dSS
zpx8Tlp}jxt@CPg);qbxI&Z5c6b~_W)RhU%*Dq?$+#{RK1Wp%x_Fr7T>OhvDa-dfjt
zWA`lmtmyS&AHZ`X+|~ImpX_Ny;D{li>A%Ee7gyVn#Ebr;1m<TBZ~2^Qeb>hC73q`!
zMO1b+w%b6=Od7=c*ot81B47MAr?qG~naRuyOO=XmQJ_@7Hw+#N#$)f2s{8R`d?quN
zy>C~%t&e0gCFQJ$II~@+5&Pgc?p&?@lzg#@VZk{wwqQE*aqOeW2z1x&w)^=PZDE8z
zO3`QWSz~?oj34a|Uak6m_<PQ{Qj=GIgh8h@Z<>|<Gd76LJ;xx1Z7)SX@AlT;$f8uU
z-0&qV+gj*Xw1dVA#vj-&avXpDsqbhBo+kD#a!7TFKPS{Bt}y3i$4sWvAKm+|=FX1e
z+V$LN;xml6Xg3{$reBnLcxvS?%jX5gMock35Zu<t8yvY7etbNb5}4ql5Ix0!r{*$F
z)K?#-=biQm!_o86B-l&E;`Vh^jxqMMiG(zj!_;ssEK{2OL23n$yJxLuU5mvQ)&lW%
z+IY~w+857U0%F9^$p8VPWS6fC58%HsAh{DxTl>mPSy-*$1t{IM<99PF$$523_e^}z
z;;Fp8@ZMTA08;0wFN4wki(FV+Ai-)EXkbUzzbrzO#iGFj%CQWe-jv@Ze*b=d*<|f%
z;b?Q}Cnfm!+5No8t#i>EFojce(Bea5G_9|n_&F?kd7q8nUzM=xG`M84=C?CNlftTO
z2`ZUZ#i@Q%tlODe`#yI-SN|*`;`EE#0j=NW%%r;y5B8}{MUKW_8zqAMBM(9@y2OfM
z$i(4N?p$WHm;;~Gh{QQzna+%X-mjepeMfgL#1m<$j1^jM_xDv=A=*)Jqxq!|c1Jvd
z5yOtWG+f?46Q45=jfO|F<yjjWb9yI)hX|}^qw#Iedp7>2r#^q#R6m^iZ-Thld3$t#
zGBoj3E&HbGc%sqwL=<%$s|I-cyM$#p5w>zYSkOJoGICSp*qeoUdIE6XPKxsjX#g4s
zT37mY-SFB|nKhlFMxD{|<a#GMnyK0A-+;S&{^B$`z3{PNdLiMaU^$%Kkv2V%L_P+r
z?&e@rGsaH`4{)Ea)jK;#Elwz<06}s4MWLP@-uf^c2N!z}YSC$3fpY$>ov^u+>fYy5
z8jn&pklI+U(U$#Y?=d!m7_61I<aQ=0Uf0}hBcs<PcUTUOsypvfWDpQ+>@jge&8hoE
zkI*dtgi5f`{`;@99jN?{i)?sv*8O-^akwLPJcVeqnppX~OFhhU>615|vDnHhYrzbN
zaihQtOS^S>8_C(+>HcoHheLur1i>Z}Z{?t<dAOR<C+A7W>{_lYsQU#_`F$7)dtu;L
zS4kB4=dGQ$0N8_Pis`=LSgwu+56JCcFOZD(eR!5fH%9XGty>yYGZN6&Y#i;Xz1WTM
zj-cQNf^zhxPyBkUT&a#~cqc3S;`Z}ypHqJ-PbBBLMC!FVuDUhrL~rJPl+Q2qzn%A<
zJoFh{>yoq{+I2g7fp*x*8*NS{9HNqfx*#(y_`cUy{Phgfaj}e7MI5XqWd9+?tvIT+
zmk!*Sq1O~U`f=&hXKO;3`~Ll{MdM6l*;1+P3<~IfCFZF?57|8NQ6GB?{^l>7L^0DD
zZKNz8cG^o;d+e6WK>FQWGX`mSWFJLtf%v*8f1z5tzQLYTt#sAzQYa$2xH}lrwX-tH
zoKiSMQRVjFISdeyope!A*45<L`Gb5P{5*hfsTi{GMr&-y_VQM!e6~F?>oLn2GsdPS
zA(J`H#*WfE8O@{q)bj+WcNZvR7^$`1YOf)ngstiJ@#0W-^`~6SbIDl0@4Od}M_Fa2
z7}P99jGUSV|NZgd(k>yj4chlWcpvKiiPHbaNJ=evI%EeY0Uq`juRTEgGE>`Gi)m&c
zP(wJ(i33StZ931Y9JA?@*18oZyJHMqmx9<z+VtXgsy|7`ETov(x+>;S2k-l4wUkQb
zan(uq0HBtcezi&Hp;qs*?3N+tdAz*38+Cf>THk?^B}m=8k~EFhKLxc2&G)<@c8%6+
z7z_UvOZ!H0wD#{Jr^iauX`pM<{yJxPn$b4@zC1q!-bzbs7bCjfPxaz_@NT<Lv-~dT
zyye#~Ptsn<5P3&42XUn>00^KqMJzq-g_g{BWvnBkT;9^twWqUHj}?;NlJ1iWmg#2H
zkIoUkF*S`2tC~bQ;{6$GuDHYoX*28ka#OI_7_$Ahy-{L$lxhWVvNbz?r)~&+vP#PK
za5*A-rp$Pflv_XjM$TeIiB9c!p&p;x?iINg{Z%C#MmROJj9{_i7s&f`#+!MlD<S!b
zwe21`P5L_pi$IHWh~k?<rU4!=8YI}9w5h0eU?^o~-e6pC1wX7#IlL0U4wR?!*70>i
z*(-fw&c2`)EPC1rBXN5yUDY3+4e#6j!Nvf=gUl1EHz&5IY$$i!d>COHBcV(~XbpcA
zPG*!^3#$+vTKa<`)37B+o0eMvcX)Os3oH}j0NkgF-;uL-b>IKuZu<ysy@IpdOzwJb
zwPOS{uaWmwV%7|xrSugsz$nM!a@WOddjD11NM61;<Q?srga?QJEhx0PuXX|o|88pa
zkCiU>t*g61>{a&Ff%r*SPfnf=f*PBJZ6ZKGuz_P$+~5;^>;J6%A%3kIqOTKp>tNuv
zkZzkp)oH8%c+<rsfDWqHar)}k==rZgRBXaEAU|=6LbN}r&A0!E(bT8B^jPQVqC?jh
zOk9I=iCe!>BgRceZZxE-SQhIpaOK+5zM`vA|G*@3@dK?x%Tak_4tcofg9M4|F>|+^
zm0usZ@VApHkk_H-OX2>mh)Fn8XwvD>X9D3{t4fKxovWITD7}3c9iDx5JY<?2zhm>?
z2n&C#RVIDHDBO*YsYbq#V<}Ww$+75P84;%Y$V;UCMtylWx-)SdRj17(y6gv%_}Hg+
z^^K0GFn=&JjOHC13Ju7iv(jb+^GpP6>kc86%H)n3+QjMpBuohBT=I9M;HwZ?i*lQq
zGaDjKe#-2#nH19>JmF~m50)Yg#~u5Btip4~t}FFes!l!I9-jMTETFR-m31ia&@O~k
zkC9oO6@+<73g_Z5liNTxY#WZ>C`>7#kp@4x<=96;u0dKhNqX?{#~Kcr8YxvB^46I8
zO`&zos{XxgE9SIx2wF#?<H0&PGBhLImJ%qGelLpwxC~Wt_s$;Oc@_$4JpL#G8C(hj
z+9ra++jjwVg@;x<DPdCMv3dJD=R3FRKqg1+MBc9^<i9N@bq9s<<CY-zr_4G{^zqF%
z79rE<dEHLUxc=CoRmv4Dv83q=$hIV&99S~igGv_RgE4hcp}f?#!rLHQiyf<>aXgFN
zVjg*@Djecx3&&EZq3!YG6o7p5M5zXDQ9#%fN`=CK)K3l-TuUn9({hK1O3kjg!h3~9
zgaC`uB)D2@?XymjXZJh?i#b1a1+Gim>sVgYnxR&!!O@YV?CL^p`nNH*i7~5+c{sLa
zYv|D#zHCJXc&C<~Ef9%ySwQfCO06Z~DMkXd$&^dcNye<^>RSmucD74N6?-B%Xi53;
zq-FDZDhBTQ6?Aqhu`<`ug3*#_q0gzcgzEw>s$KXWH1mmFkGHGS#=n#rHLx5HqoHcL
zk=zvU1JzvXrY=q*-ep{lSK4_@-yM|^4uOTO0YvgkoY*62i-9rUk04X|%q`jqvVy-f
zE35*&V`FHIqogpEar&V<bZXtPy6NzVnt}Kvo$+3(aUmy9lFb5Np|a@wdSf_>0=lZe
z?;0_(7TyIt9FRkIWw1H=cyDovkkoj3z*t_QDRwQMhx84gv>m)PoqKUwqIXINP$|RA
zQTuVTBKi0{ONq4rBO}p9*epK}^z3+7tf;CrfAA>TmA@u68d_A)$uzz~oJ0mCq2>>O
z(9Q~A1i=xxF^9TzKW2U>&6&;EFTOjQPu|(l0K)go2V6r6s4*9ahl!d=Sf|G1^IoVR
z?D-^%fYl>PFO^1m!_t@IA2EG>xXy7)qfw5Qz8(8BPmqRt)SEJjK@1i$6COmZuF61j
z<bKSoR51YIDoCU6+LGhOBlYeJ(B0jM94aDzck?+4ppIlNzj`u?T*&xA&@CY`S%6pr
za7;Zb>wMcY+eIHUT|~><6apk>6v6mOxGMt>N2}rLo_e6P>`c0lB(>vn?rZ>-;0kk0
zsle&tA$04&JBVsV`<**hUeFLCYI*-PUX!Vm^J<tAOFXhg=0LF1`j|{dhtlS1H8KK{
zwePSRh=8t)7Gn#=z;}@muvsw2;E2n%)w|)}IKhkJz5j=w5U&mt?akItUT10S{2OD}
z1{hW&1hXGyu6i@UwJCLfSRV`?GNj%N2s+a8kN|Lor`~}LV22X!CVwQHzc#YEl5_n~
z+lwqNZOErvz%zOlH&L2G`!I{D_X(xp6oF~MnDDjbEz%2)mM=i|xlU{%$|fuSFfJLU
z{$2>PpWLFnqD^`nAm?Qeok#X=@ka@oJ8phMvxbBeB4s5dNs9XNSpLNf=8tmuf`2+T
z68CCOeOyo@lbx%;yhUmX0fg^@chri1T4Z$-dS+9bDVOeB%){}PGK9{~uY<jU6&3VZ
zM3_=ArB4@E2?zsR1_=|xdEse9=i!gMvXE~GpgBChI?oYmGq?brEhQjqWgNp;45_qE
z1LzEmn+YDaNT36xC)S2JQre{5R88+UU1ywo5FkN~AtZw<EfQ>w3s*Y1xvpxZ#&b&`
z1<<VJ@cN9lG@x_usdkkT^hX@{BvAN^h?Qq63G_<_JHe>$)?B7vBn<T+nxI`hp+wB!
zgkwqC!{-~;!KodG2X&?#qEF0-19&Ga96La6-8wPT^lgC47ki77nL@9Mv-n$t{Aa39
z>=XNwpbetCdjr_E7{AR%=6E+1sJMeuz0sDEva~_Ax&nhy%owt5JaM4~M;nLqa6~EX
ztOp#O@ZZDs$C|n*K)N75o$KV#q~>8PD>9eXIo90PcXOmsD(_Z6Ux2M9Va2BsEGWqE
z8e}4WHUGytK2!UQ--BW%>h|Eo)Q)${F92BV;gLg%RXSuMT6~|b{GOs8OdQ(~fbW8#
zodA^gH$TjsZqN!hM3c^6>)Spvj8JZ*d)3T~XPVZ8ixzcTfRpzGAVUHXb&PEQ_Bc#l
z4>~+Ox#4rOeiaM;P|j{$HyVjqufK=gAG%Y>f%E9P#^@y@@01bik5cnV>bi7*nI(M_
zZcS_`Aqqp9fq&XRwFQa`V>#7a!%v(WzNc+=e`{o9Zgzv2Efj}n-ZMYJ@57?I!6fS*
z076tCZ-$$9{gH0kg<@l3egvpNM?7wBeos7~|D*5p+?f~OPXI=0=DoiWL(}B#a3(;H
zy~GjjTnYMwo1yOyuM`+uj%IZSpJw2n+Ll~Jve&bg;XE+fiS<?7u7O;Dj}NQw{Y42n
zLVh9uq4Ii&QKT@>ks4UT^uLcP%s1G8ZbF-qwZ?`Eo`PnCz@#9w4sF2O2fLs3p1@mW
z?xcVhWKc)H<7h56x@Nu9$?;2VxT7*(xOY`4&1qk*Pta^K#iRvUuYd339)_uj=)p|k
z3=fPwcb4q_AoQE;oQE$Bh7nGOeu%*-yB}kVGM}OYga9c3J0bh`%Wz8@Zt07cJuK40
z-1Rr%<GIsp+Haes=G09;kgvi+kq8oV3|n)EmVNr&BO;2zwLmuEPt>WyYl#~9m*5U_
zfaIu=fLE*>R%W@2)N2{aGi>Ym8HkaZOc&fK#k0vrL2EBc3@McyM)!ih7i8o`Q0E!h
z|K3E>g4;*lSZ<u~_BC0HJpAx|Dzy>Q2I?RE7dhpbM|OXsg_ySP$wg-N@Wn_18~GlV
z^HB1%J;U{K%=dP07Ww7s-UDbWi!G&1SZSiy?*~olhGWDr4Bp4)bP0Um{Gb&L!)**P
zip`bNDDmviWkmC$Gc$n^NBY-`jO@k_O4MoVG^FTaM(AEd$VLcKv$E+PIVFTMNSmvt
zA)(-jty#<8nfcpVXz@Q#F*~x|)|Z~?g{LoOAeL7s%>itp=ND9J_-7ZgzUU%NaFe*S
zL|B}T6j*gp70?=WQgqZ={Kd=#Tb*Yg?h-hLU9M&Ez5jfT>fJ^!J%0ZA20)t{KO}vk
zZIS7Ra=QMPG-kPt8(>c?XR(plzM4+zlPasCg3h`!C1y&7&igo6M~5F&W-wI{Ii&T8
zxkc&8*zBc3sv=>}oxdK~8_f9xS=*iT&?>T%gyviaG>0aQ)m)MXXHgNH*Y|Geza(2>
zsrAS!5di;(o!0*yN26-O0LUYSyTL6?J$ItF?E=!{(deR?&#$HCp1q`NGyOA1*mM$>
z9v`oXWDS~(13X%EE%R|Y+zNSMx+>kdBI$8^{}9w5h~d=rfFW}UcLvdF$Nv6H6#xGa
z;LIWaM}Qk(buWp#C5D8HjzYy27+`QBH;KN!LmiF5fpEv}#L3YW8EfM-B|sD5h<+qO
zvV|b9b4r{7F2JHJy2?OQ8TKeT31oncM&7)3R^D0@PK{YNIs!7x+{w}TV7{sjYiS9f
z2s3ieMzJ$6f<UL1`mD#NR*{Y}2%b`y$;`F-Ri9>8S;_Hr-0<933lAQJ*ip(?e=#vV
zt3S1ZH0$^-9S-N#7`&MU3uxg0_-3zV|K9$k%r@agTmd`}u%2oFJyB}JB~>R4{QtuF
zuo=K~vlzVo3cYx^QXVmdtIxUAHbwZz9v(QWau?^xwlo1=lQ43F@_Y9eBLMl&UE0>J
z#|lhzqQ<a2R(P}i^bMS|^lZ_-RND>?-v;7V=X76Kp{6i0xfM{*Y?Ns8bHm<65AOiK
zWbL_opFoqPP+Tcd5_21J99x&VhFOi{oa4qwU+t7H0U!<eTy}~)K~Pk+JQrq(%Y80B
zezg2;H%?R}3m9Z*!jt!q$u!YqE-4kTG5;?yk(p-=zv07R(BE%1PsQZUn+B3A<v9{}
z+t9tDC-STERAb7LovC#v)l8OyzKDuMX+WO}Tf8*hRB)*Ge}Ig!d=pIT`1>6NQCx4c
zF{zPha&WQn0Z@}UlskVw>q2v3jZYxB()Wl-ag|&ya@!-Hq`gnmh_lM+v&a)^u&yxt
z^N>dub2rsYa7^?6;v}O@0h}Z%>wj^QTgUt+Z%8px*?L+?0W7b#(v&C5NIkxrZQN3A
zN?(S$EFh~iZC%beYPvdk?({^$8yxCH1yg;#PL>{aA|(mJ)j%7KOM0sW$W7vnR&RbJ
znCq|91V#f~z8?q9b$|?!?H68{7X9`Uk64zbMn(255{_h9ygZaOpMmL8%Z7aK*X_4G
zHvfeR(G;EX&v~`&{pxZ+jE2YyP&3EH8TVT9NBh|;G)BX&u4~oH{SpLRWm$1ZXIM(5
z>pW31f)~F*)MB!tZOv?2D~9dY0Z5y$h1MserCwcrfQtKOs`A!|puq-*E?kL9QyvL5
z@l7Qjx=on5VODmhTExZoXpQ(b21QzK85%ds9_r?K23S7H`6WiLbvz?|MY7k~&-mo#
znujgo#DG5D{v3cHX1_|wTJ2b8l)OHr9z(ks(OI4HPHLC|W<~0z%Kn}?{)=`BuswS|
zD^n<E^Hd=TT5VJ+O>29Hk-@y$%#u_UVsaW=Wt41sq7M~xoL+Y>tItNHMqb9u8O2SN
zvVkG$chYP$xt8X~!@HWawSc;yo9fSOS%x#y^_dmdciOvZDAEm=+u`a!#Jgn`t_ip>
z7vhK_MlIJI{}EkX>|_J83>4>ndy&8x8LI*bMP~<#ZvJ1;?6u;VUdhlUntF1@#5a02
zE^K1bXVC?tmxnm{5zZD%ugDbZUxj8F7*CaxB!bb?4+A2P`kFr%$}=2rz*SCO&_wz;
zI>s6H<6+o;s|J;dja=UXP_hd1?)OHenZLf{m1&*k^N(iO{uCQL-(OgOYPMW|*42LQ
zPxFez^1->A62#TzkPF7-^+yBNn}N}k8dE>+6%PRW%_27piuI@hh}r<|m*6~hgYTU#
zVhaLDJp|Fz8lBe|=iR6G<GhL6&ub9Gb#zgmj)0(UoAlc&NI`HTjn!Tx!#Oix920X=
zTeG$&$n>J#lv2;uThlpeL{J42^`h#u8O;%+uFNF^5MipZ^d~C|lY>m$bd})*(h@{v
zM*%LCtfPcEei;ouujUZ&KowjqarcT0+yAiG({jF_8+<rR(0~h9kOTC}GW=5<$500p
z8e16iD{p*x3<LBhGI9?h)Ck|j1tbNIDLh3b<a%{V{qznHb+KyyHuyAv)q{u+aL5Dq
zW@b|(8jy*^r`9`EhCi7dBr8a^uo=?xz>Sm83W2AI5Kate^toXfno3CZ$2Y$rz#F!5
zqToCLmN&=*QJ9GihZoHKYrHhJbX6XD{__>^@|xvd=rU`_on=GU5?~Nm7R`|`G?XBk
zL0bWVK7Bdt;vz6>BQ4`;&oUoeX0*YZLO1>U#AfF1sI)@vSrVm}skf>FsEI9H9Mr%&
z8j=-F!59pW<Yg5)VF1g!tniXiVPMYb2%t8r+%X@pF>EJ0hMptSXu(P4yaC&Jvzjiz
zAqP1I%5#2C1M${#{Te@vEj<lu#0$j<0O;4K>*hB8eflDNt|m~sbh@6{t_-pn>=+Qp
zb-biEDi+_x0@jf>f1~T<`A%07n2sZH9Y(V}`n7WdB84cAL)|DIjK@?B!!}3(1S++e
zFze>|{4`dnUAjS48<QP=3qrt&9kF{l{)x6D3UHtmxQO8j57<Z-2f(9$o3i0GLGGcZ
z5ao0Aw%9M)IEkp3d?Jjmdz;o{GK>YWA7lcujcKBb$X?6u6{Em3>nzJFK1lzP3}*+J
zHp-3cVHW|HBp2MKI7jH9x*RF*x?AbtX(WoKg?TT3P6J7j6;Q{?U6$pR!8)cOKd|GO
zm;zkv`x!0ZDjW)=A~y;CDDMh6VM)$tKTr@yXC7HguxSxG2;)DD+4+AKc@>7cFgUZ>
zv&CRqkG_u{12Pe95FRe>q9u@ikL*DYV7>w1d%9A;vs{r2FrsqzW3>ktgNB?FwS>(i
zQZCws>~Ixh6`Ef5R1Sw1K8jQgtntI|9Ma!h3$?6<wGmlzsTq;LmX4{%8Ikka>xJfg
z_m4!45V`L<?d_NNxfpvqqL-sSba%p{{8-l`!gQA_E@O>Z2eH5Q3lX!KTw$ei_V!mu
ziWK&sA5m<U+(WgDt|7Ps__xkDw+YuZ2;&Y*r;O!4Fhf>olp}&^*W1+<iBk!TRhU4&
zinWi%>{8p~TEf!dve21Bq{<nTxSj2B^jDg4ZEB4#Vjr_{VIu^h(r7)n0lyHkk?x3Y
z70C`@Z{?Xl;@eG{WrlKp0>&BaoVm}<>KB)<)<CYu%LhS=V}s9+#ikI@X}Y-F4Ll+B
zRoWENOrXQtZ**F?RV$+OuAg(}Tm<djxwCl+AX2=}b$%_v80(*d`wE8dR@pC5^3I(#
z4>%Bzu3Ep0J@)#Koi;W)&4eagh{-R!N`pd?>8rc|J4-_MH{pFjkaTzy!7UGtfnf!~
zurg&J`so}BRX%m%uXar|de>hTjf-rqi}5&vj=&+4#l#F9sN#l45fZ-WD}_qDnTpXN
z-=fVKF#7!EPv?<mWodE0{M9k&T?61-8GmEuz#=+1!Bb|l-G>WTtZ(jc+(6Q3uMOdo
zf_CnmvQ5&Ifqq#l$Yp6?du;!Wc(NrihEm@#4|zLjgZ%Avy7LN3eadnHFfY(O%cUMy
z!!{&Yh3P8@FQJ;*`OO`{zu{V!umnnUW*SVSm+AEbxon&|d+L-1E#KUcBmh@KFJE#I
z;Ly@xWsiST^X+$wI$J!uV&1cdbVX1$lC0KI==+23&j-=<-`KXj(0;!`LikA>c$)(3
ztDp1OjCu)2#L(-MF9MkfsZO5sU+Oim=z+D7{QQaoM{dx}G8;=MCRv$3d%F=!NU||+
zN&Vxqqtz)ybee1=*Y9^PxGzv5IF-cS4df-qk6S1#MR1mTEy{9vg8wtj*TO&cTTL4c
zb9-(m0&#Ec`aEmNK6yX;i~12E1UimzqkmF&UtDSi?k@QCC?PeFpUqWiyI4+Q;9Dy1
zxuM1G3D&}UnqVBvoRXPM%g9mOFM{sWcfyx2Lq*f}sB(XK?C$EVC#%!rh8AMLIKqU~
zmB{-8_dy9YisC4ZKGxiXV?TjoJoJIg<vqE34bT04k3qDp)(KdU);12|1pp@ph2Vl{
zwj8AEwf~~t%#FE=N^V<bZqbdoKW1*nT<_qdqO4s1Y8crm@Nb)L@1wOnjxo@GwyU#(
z6Yv@9=@~6uDx@U9ANr>!wE#aM@NAZUPix5r9?<gty+#jhN5lqwoNBmjy$%in&IG-Y
LQ<W`~HVOJ4Ty0iy

literal 0
HcmV?d00001

diff --git a/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md b/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md
index fed7d4b91..ec280c4b8 100644
--- a/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md
+++ b/src/pentesting-ci-cd/github-security/abusing-github-actions/README.md
@@ -1,29 +1,39 @@
-# Abusing Github Actions
+# Zloupotreba Github Actions
 
 {{#include ../../../banners/hacktricks-training.md}}
 
-## Basic Information
+## Alati
+
+Sledeći alati su korisni za pronalaženje Github Action radnih tokova i čak pronalaženje ranjivih:
+
+- [https://github.com/CycodeLabs/raven](https://github.com/CycodeLabs/raven)
+- [https://github.com/praetorian-inc/gato](https://github.com/praetorian-inc/gato)
+- [https://github.com/AdnaneKhan/Gato-X](https://github.com/AdnaneKhan/Gato-X)
+- [https://github.com/carlospolop/PurplePanda](https://github.com/carlospolop/PurplePanda)
+- [https://github.com/zizmorcore/zizmor](https://github.com/zizmorcore/zizmor) - Proverite i njegovu kontrolnu listu na [https://docs.zizmor.sh/audits](https://docs.zizmor.sh/audits)
+
+## Osnovne Informacije
 
 Na ovoj stranici ćete pronaći:
 
 - **rezime svih uticaja** napadača koji uspe da pristupi Github Action
-- Različite načine za **pristup akciji**:
+- Različite načine da **dobijete pristup akciji**:
 - Imajući **dozvole** za kreiranje akcije
 - Zloupotreba **okidača** povezanih sa pull request-om
 - Zloupotreba **drugih tehnika spoljnog pristupa**
 - **Pivotiranje** iz već kompromitovanog repozitorijuma
-- Na kraju, odeljak o **tehnikama post-ekspolatacije za zloupotrebu akcije iznutra** (uzrokovanje pomenutih uticaja)
+- Na kraju, odeljak o **tehnikama post-eksploatacije za zloupotrebu akcije iznutra** (uzrokovanje pomenutih uticaja)
 
-## Impacts Summary
+## Rezime Uticaja
 
 Za uvod o [**Github Actions proverite osnovne informacije**](../basic-github-information.md#github-actions).
 
-Ako možete **izvršiti proizvoljan kod u GitHub Actions** unutar **repozitorijuma**, možda ćete moći da:
+Ako možete da **izvršite proizvoljan kod u GitHub Actions** unutar **repozitorijuma**, možda ćete moći da:
 
-- **Uk盗ite tajne** montirane na pipeline i **zloupotrebite privilegije pipeline-a** da dobijete neovlašćen pristup spoljnim platformama, kao što su AWS i GCP.
+- **Uk盗ite tajne** montirane na pipeline i **zloupotrebite privilegije pipeline-a** da biste dobili neovlašćen pristup spoljnim platformama, kao što su AWS i GCP.
 - **Kompromitujete implementacije** i druge **artefakte**.
-- Ako pipeline implementira ili čuva resurse, mogli biste izmeniti konačni proizvod, omogućavajući napad na lanac snabdevanja.
-- **Izvršite kod u prilagođenim radnicima** da zloupotrebite računske resurse i pivotirate na druge sisteme.
+- Ako pipeline implementira ili čuva resurse, mogli biste da izmenite konačni proizvod, omogućavajući napad na lanac snabdevanja.
+- **Izvršite kod u prilagođenim radnicima** da biste zloupotrebili računske resurse i pivotirali na druge sisteme.
 - **Prepišete kod repozitorijuma**, u zavisnosti od dozvola povezanih sa `GITHUB_TOKEN`.
 
 ## GITHUB_TOKEN
@@ -32,7 +42,7 @@ Ova "**tajna**" (koja dolazi iz `${{ secrets.GITHUB_TOKEN }}` i `${{ github.toke
 
 <figure><img src="../../../images/image (86).png" alt=""><figcaption></figcaption></figure>
 
-Ovaj token je isti onaj koji će **Github aplikacija koristiti**, tako da može pristupiti istim krajnjim tačkama: [https://docs.github.com/en/rest/overview/endpoints-available-for-github-apps](https://docs.github.com/en/rest/overview/endpoints-available-for-github-apps)
+Ovaj token je isti koji će koristiti **Github aplikacija**, tako da može pristupiti istim krajnjim tačkama: [https://docs.github.com/en/rest/overview/endpoints-available-for-github-apps](https://docs.github.com/en/rest/overview/endpoints-available-for-github-apps)
 
 > [!WARNING]
 > Github bi trebao da objavi [**tok**](https://github.com/github/roadmap/issues/74) koji **omogućava međurepozitorijumski** pristup unutar GitHub-a, tako da repo može pristupiti drugim internim repozitorijumima koristeći `GITHUB_TOKEN`.
@@ -67,7 +77,7 @@ https://api.github.com/repos/<org_name>/<repo_name>/pulls/<pr_number>/reviews \
 -d '{"event":"APPROVE"}'
 ```
 {{#endtab }}
-{{#tab name="Create PR" }}
+{{#tab name="Kreiraj PR" }}
 ```bash
 # Create a PR
 curl -X POST \
@@ -141,9 +151,9 @@ Moguće je proveriti dozvole date Github Token-u u repozitorijumima drugih koris
 ## Dozvoljena Izvršenja
 
 > [!NOTE]
-> Ovo bi bio najlakši način da se kompromituju Github akcije, jer ovaj slučaj podrazumeva da imate pristup **kreiranju novog repozitorijuma u organizaciji**, ili imate **prava za pisanje u repozitorijumu**.
+> Ovo bi bio najlakši način da se kompromituju Github akcije, jer ovaj slučaj podrazumeva da imate pristup **kreiranju novog repozitorijuma u organizaciji**, ili imate **privilegije pisanja nad repozitorijumom**.
 >
-> Ako ste u ovom scenariju, možete samo proveriti [Post Exploitation techniques](#post-exploitation-techniques-from-inside-an-action).
+> Ako ste u ovom scenariju, možete jednostavno proveriti [Post Exploitation techniques](#post-exploitation-techniques-from-inside-an-action).
 
 ### Izvršenje iz Kreiranja Repozitorijuma
 
@@ -153,7 +163,7 @@ U slučaju da članovi organizacije mogu **kreirati nove repozitorijume** i mož
 
 Ako možete **kreirati novu granu u repozitorijumu koji već sadrži konfigurisan Github Action**, možete **modifikovati** to, **otpremiti** sadržaj, a zatim **izvršiti tu akciju iz nove grane**. Na ovaj način možete **izvući tajne na nivou repozitorijuma i organizacije** (ali morate znati kako se zovu).
 
-Možete napraviti modifikovanu akciju izvršnom **ručno,** kada se **PR kreira** ili kada se **neki kod otpremi** (u zavisnosti od toga koliko želite da budete uočljivi):
+Možete učiniti da modifikovana akcija bude izvršna **ručno,** kada se **kreira PR** ili kada se **neki kod otpremi** (u zavisnosti od toga koliko želite da budete uočljivi):
 ```yaml
 on:
 workflow_dispatch: # Launch manually
@@ -179,18 +189,18 @@ Okidač radnog toka **`pull_request`** će izvršiti radni tok svaki put kada se
 <figure><img src="../../../images/image (184).png" alt=""><figcaption></figcaption></figure>
 
 > [!NOTE]
-> Kako je **podrazumevano ograničenje** za **prvake** u doprinosima, mogli biste doprineti **ispravljanjem važeće greške/typo-a** i zatim poslati **druge PR-ove da zloupotrebite svoje nove `pull_request` privilegije**.
+> Kako je **podrazumevano ograničenje** za **prvake** u doprinosima, mogli biste doprineti **ispravljanjem važne greške/tipa** i zatim poslati **druge PR-ove da zloupotrebite svoje nove `pull_request` privilegije**.
 >
 > **Testirao sam ovo i ne radi**: ~~Druga opcija bi bila da kreirate nalog sa imenom nekoga ko je doprineo projektu i obrisao njegov nalog.~~
 
-Pored toga, prema zadatku **sprečava pisane dozvole** i **pristup tajnama** ciljanom repozitorijumu kao što je pomenuto u [**dokumentaciji**](https://docs.github.com/en/actions/using-workflows/events-that-trigger-workflows#workflows-in-forked-repositories):
+Pored toga, prema zadatku **sprečava pisane dozvole** i **pristup tajnama** ciljanom repozitorijumu kao što je pomenuto u [**docs**](https://docs.github.com/en/actions/using-workflows/events-that-trigger-workflows#workflows-in-forked-repositories):
 
 > Sa izuzetkom `GITHUB_TOKEN`, **tajne se ne prosleđuju izvršiocu** kada se radni tok pokrene iz **forkovanog** repozitorijuma. **`GITHUB_TOKEN` ima dozvole samo za čitanje** u pull request-ima **iz forkovanih repozitorijuma**.
 
 Napadač bi mogao da izmeni definiciju Github akcije kako bi izvršio proizvoljne stvari i dodao proizvoljne akcije. Međutim, neće moći da ukrade tajne ili prepiše repozitorijum zbog pomenutih ograničenja.
 
 > [!CAUTION]
-> **Da, ako napadač promeni u PR-u github akciju koja će biti pokrenuta, njegova Github akcija će biti ta koja se koristi, a ne ona iz originalnog repozitorijuma!**
+> **Da, ako napadač promeni u PR-u github akciju koja će biti pokrenuta, njegova Github akcija će biti ta koja će se koristiti, a ne ona iz originalnog repozitorijuma!**
 
 Kako napadač takođe kontroliše kod koji se izvršava, čak i ako nema tajni ili pisane dozvole na `GITHUB_TOKEN`, napadač bi mogao, na primer, **da otpremi zlonamerne artefakte**.
 
@@ -198,16 +208,16 @@ Kako napadač takođe kontroliše kod koji se izvršava, čak i ako nema tajni i
 
 Okidač radnog toka **`pull_request_target`** ima **pisanu dozvolu** za ciljani repozitorijum i **pristup tajnama** (i ne traži dozvolu).
 
-Napomena: okidač radnog toka **`pull_request_target`** **izvršava se u osnovnom kontekstu** i ne u onom koji daje PR (da **ne izvršava nepouzdani kod**). Za više informacija o `pull_request_target` [**proverite dokumentaciju**](https://docs.github.com/en/actions/using-workflows/events-that-trigger-workflows#pull_request_target).\
+Napomena da okidač radnog toka **`pull_request_target`** **radi u osnovnom kontekstu** i ne u onom koji daje PR (da **ne izvršava nepouzdani kod**). Za više informacija o `pull_request_target` [**proverite dokumentaciju**](https://docs.github.com/en/actions/using-workflows/events-that-trigger-workflows#pull_request_target).\
 Pored toga, za više informacija o ovoj specifičnoj opasnoj upotrebi proverite ovaj [**github blog post**](https://securitylab.github.com/research/github-actions-preventing-pwn-requests/).
 
-Može izgledati kao da je **izvršeni radni tok** onaj definisan u **osnovi** i **ne u PR-u**, pa je **sigurno** koristiti **`pull_request_target`**, ali postoje **neki slučajevi kada to nije**.
+Možda izgleda kao da je **izvršeni radni tok** onaj definisan u **osnovi** i **ne u PR-u**, pa je **sigurno** koristiti **`pull_request_target`**, ali postoje **neki slučajevi kada to nije**.
 
 A ovaj će imati **pristup tajnama**.
 
 ### `workflow_run`
 
-Okidač [**workflow_run**](https://docs.github.com/en/actions/using-workflows/events-that-trigger-workflows#workflow_run) omogućava pokretanje radnog toka iz drugog kada je `završen`, `tražen` ili `u toku`.
+[**workflow_run**](https://docs.github.com/en/actions/using-workflows/events-that-trigger-workflows#workflow_run) okidač omogućava pokretanje radnog toka iz drugog kada je `završen`, `tražen` ili `u toku`.
 
 U ovom primeru, radni tok je konfiguran da se pokrene nakon što se završi odvojeni "Pokreni testove" radni tok:
 ```yaml
@@ -220,21 +230,21 @@ types:
 Moreover, according to the docs: Workflow pokrenut događajem `workflow_run` može **pristupiti tajnama i pisati tokene, čak i ako prethodni workflow nije**.
 
 Ova vrsta workflow-a može biti napadnuta ako **zavisi** od **workflow-a** koji može biti **pokrenut** od strane spoljnog korisnika putem **`pull_request`** ili **`pull_request_target`**. Nekoliko ranjivih primera može se [**pronaći u ovom blogu**](https://www.legitsecurity.com/blog/github-privilege-escalation-vulnerability)**.** Prvi se sastoji od **`workflow_run`** pokrenutog workflow-a koji preuzima napadačev kod: `${{ github.event.pull_request.head.sha }}`\
-Drugi se sastoji od **prosleđivanja** **artifact-a** iz **nepouzdanog** koda u **`workflow_run`** workflow i korišćenja sadržaja ovog artifact-a na način koji ga čini **ranjivim na RCE**.
+Drugi se sastoji od **prosleđivanja** **artefakta** iz **nepouzdanog** koda u **`workflow_run`** workflow i korišćenja sadržaja ovog artefakta na način koji ga čini **ranjivim na RCE**.
 
 ### `workflow_call`
 
 TODO
 
-TODO: Proveriti da li kada se izvršava iz `pull_request`, korišćeni/preuzeti kod dolazi iz originala ili iz forkovanog PR
+TODO: Proveriti da li kada se izvršava iz `pull_request` koristi/preuzima kod iz originala ili iz forkovanog PR
 
 ## Zloupotreba Forkovane Izvršavanja
 
-Pomenuli smo sve načine na koje spoljašnji napadač može uspeti da pokrene github workflow, sada hajde da pogledamo kako ova izvršavanja, ako su loše konfigurisana, mogu biti zloupotrebljena:
+Pomenuli smo sve načine na koje spoljašnji napadač može uspeti da pokrene github workflow, sada hajde da pogledamo kako bi ove izvršavanja, ako su loše konfigurisane, mogle biti zloupotrebljene:
 
 ### Nepouzdan checkout izvršavanje
 
-U slučaju **`pull_request`,** workflow će biti izvršen u **kontekstu PR** (tako da će izvršiti **maliciozni kod PR-a**), ali neko mora prvo da **odobri** i biće izvršen sa nekim [ograničenjima](#pull_request).
+U slučaju **`pull_request`,** workflow će biti izvršen u **kontekstu PR** (tako da će izvršiti **maliciozni kod PR-a**), ali neko mora prvo da **autorizuje** i izvršiće se sa nekim [ograničenjima](#pull_request).
 
 U slučaju workflow-a koji koristi **`pull_request_target` ili `workflow_run`** koji zavisi od workflow-a koji može biti pokrenut iz **`pull_request_target` ili `pull_request`**, kod iz originalnog repozitorijuma će biti izvršen, tako da **napadač ne može kontrolisati izvršeni kod**.
 
@@ -269,10 +279,10 @@ message: |
 Thank you!
 </code></pre>
 
-Potencijalno **nepouzdan kod se izvršava tokom `npm install` ili `npm build`** jer su skripte za izgradnju i referencirane **pakete pod kontrolom autora PR-a**.
+Potencijalno **nepouzdan kod se izvršava tokom `npm install` ili `npm build`** jer su skripte za izgradnju i referencirani **paketi pod kontrolom autora PR-a**.
 
 > [!WARNING]
-> Github dork za pretragu ranjivih akcija je: `event.pull_request pull_request_target extension:yml`, međutim, postoje različiti načini za konfiguraciju poslova da se izvršavaju sigurno čak i ako je akcija konfigurisana nesigurno (kao što je korišćenje uslovnih izraza o tome ko je akter koji generiše PR).
+> Github dork za pretragu ranjivih akcija je: `event.pull_request pull_request_target extension:yml` međutim, postoje različiti načini za konfiguraciju poslova da se izvršavaju sigurno čak i ako je akcija konfigurisana nesigurno (kao što je korišćenje uslovnih izraza o tome ko je akter koji generiše PR).
 
 ### Kontekst Injekcije Skripti <a href="#understanding-the-risk-of-script-injections" id="understanding-the-risk-of-script-injections"></a>
 
@@ -286,21 +296,61 @@ gh-actions-context-script-injections.md
 
 Prema dokumentaciji: Možete učiniti **promenljivu okruženja dostupnom za sve naredne korake** u workflow poslu tako što ćete definisati ili ažurirati promenljivu okruženja i napisati to u **`GITHUB_ENV`** datoteku okruženja.
 
-Ako bi napadač mogao **ubaciti bilo koju vrednost** unutar ove **env** promenljive, mogao bi ubaciti env promenljive koje bi mogle izvršiti kod u narednim koracima kao što su **LD_PRELOAD** ili **NODE_OPTIONS**.
+Ako bi napadač mogao **ubaciti bilo koju vrednost** unutar ove **env** promenljive, mogao bi ubaciti env promenljive koje bi mogle izvršiti kod u sledećim koracima kao što su **LD_PRELOAD** ili **NODE_OPTIONS**.
 
-Na primer ([**ovo**](https://www.legitsecurity.com/blog/github-privilege-escalation-vulnerability-0) i [**ovo**](https://www.legitsecurity.com/blog/-how-we-found-another-github-action-environment-injection-vulnerability-in-a-google-project)), zamislite workflow koji veruje da je uploadovani artifact da čuva svoj sadržaj unutar **`GITHUB_ENV`** env promenljive. Napadač bi mogao da uploaduje nešto poput ovoga da bi ga kompromitovao:
+Na primer ([**ovo**](https://www.legitsecurity.com/blog/github-privilege-escalation-vulnerability-0) i [**ovo**](https://www.legitsecurity.com/blog/-how-we-found-another-github-action-environment-injection-vulnerability-in-a-google-project)), zamislite workflow koji veruje da je učitani artefakt da skladišti svoj sadržaj unutar **`GITHUB_ENV`** env promenljive. Napadač bi mogao da učita nešto poput ovoga da bi ga kompromitovao:
 
 <figure><img src="../../../images/image (261).png" alt=""><figcaption></figcaption></figure>
 
-### Ranjive Treće Strane Github Akcije
+### Dependabot i drugi pouzdani botovi
+
+Kao što je navedeno u [**ovom blog postu**](https://boostsecurity.io/blog/weaponizing-dependabot-pwn-request-at-its-finest), nekoliko organizacija ima Github akciju koja spaja bilo koji PRR od `dependabot[bot]` kao u:
+```yaml
+on: pull_request_target
+jobs:
+auto-merge:
+runs-on: ubuntu-latest
+if: ${ { github.actor == 'dependabot[bot]' }}
+steps:
+- run: gh pr merge $ -d -m
+```
+Koji je problem jer polje `github.actor` sadrži korisnika koji je izazvao najnoviji događaj koji je pokrenuo radni tok. I postoji nekoliko načina da se korisnik `dependabot[bot]` natera da izmeni PR. Na primer:
+
+- Forkujte žrtvovano skladište
+- Dodajte zloćudni payload u svoju kopiju
+- Omogućite Dependabot na svom fork-u dodajući zastarelu zavisnost. Dependabot će kreirati granu koja ispravlja zavisnost sa zloćudnim kodom.
+- Otvorite Pull Request ka žrtvovanom skladištu iz te grane (PR će biti kreiran od strane korisnika, tako da se još ništa neće desiti)
+- Zatim, napadač se vraća na inicijalni PR koji je Dependabot otvorio u svom fork-u i pokreće `@dependabot recreate`
+- Zatim, Dependabot izvršava neke radnje u toj grani, koje su izmenile PR u žrtvovanom repo-u, što čini `dependabot[bot]` akterom najnovijeg događaja koji je pokrenuo radni tok (i stoga, radni tok se pokreće).
+
+Nastavljajući, šta ako umesto spajanja Github Action bi imao injekciju komandi kao u:
+```yaml
+on: pull_request_target
+jobs:
+just-printing-stuff:
+runs-on: ubuntu-latest
+if: ${ { github.actor == 'dependabot[bot]' }}
+steps:
+- run: echo ${ { github.event.pull_request.head.ref }}
+```
+Pa, originalni blog post predlaže dve opcije za zloupotrebu ovog ponašanja, a druga je:
+
+- Forkujte repozitorijum žrtve i omogućite Dependabot sa nekim zastarelim zavisnostima.
+- Kreirajte novu granu sa zloćudnim kodom za shell injekciju.
+- Promenite podrazumevanu granu repozitorijuma na tu.
+- Kreirajte PR iz ove grane u repozitorijum žrtve.
+- Pokrenite `@dependabot merge` u PR-u koji je Dependabot otvorio u svom forku.
+- Dependabot će spojiti svoje izmene u podrazumevanu granu vašeg forkovanog repozitorijuma, ažurirajući PR u repozitorijumu žrtve, čineći sada `dependabot[bot]` aktera poslednjeg događaja koji je pokrenuo radni tok i koristeći zloćudno ime grane.
+
+### Ranljive Treće Strane Github Akcije
 
 #### [dawidd6/action-download-artifact](https://github.com/dawidd6/action-download-artifact)
 
-Kao što je pomenuto u [**ovom blog postu**](https://www.legitsecurity.com/blog/github-actions-that-open-the-door-to-cicd-pipeline-attacks), ova Github Akcija omogućava pristup artifact-ima iz različitih workflow-a i čak repozitorijuma.
+Kao što je pomenuto u [**ovom blog postu**](https://www.legitsecurity.com/blog/github-actions-that-open-the-door-to-cicd-pipeline-attacks), ova Github Akcija omogućava pristup artefaktima iz različitih radnih tokova i čak repozitorijuma.
 
-Glavni problem je što ako **`path`** parametar nije postavljen, artifact se ekstrahuje u trenutni direktorijum i može prepisati datoteke koje bi kasnije mogle biti korišćene ili čak izvršene u workflow-u. Stoga, ako je Artifact ranjiv, napadač bi mogao da zloupotrebi ovo da kompromituje druge workflow-e koji veruju Artifact-u.
+Problem je u tome što, ako **`path`** parametar nije postavljen, artefakt se ekstrahuje u trenutni direktorijum i može prepisati datoteke koje bi kasnije mogle biti korišćene ili čak izvršene u radnom toku. Stoga, ako je artefakt ranjiv, napadač bi mogao zloupotrebiti ovo da kompromituje druge radne tokove koji veruju artefaktu.
 
-Primer ranjivog workflow-a:
+Primer ranjivog radnog toka:
 ```yaml
 on:
 workflow_run:
@@ -349,7 +399,7 @@ Ako nalog promeni svoje ime, drugi korisnik bi mogao da registruje nalog sa tim
 > [!CAUTION]
 > Dakle, ako neka akcija koristi repozitorijum sa nepostojećeg naloga, još uvek je moguće da napadač može da kreira taj nalog i kompromituje akciju.
 
-Ako su drugi repozitorijumi koristili **zavisnosti iz ovih korisničkih repozitorijuma**, napadač će moći da ih otme. Ovde imate potpunije objašnjenje: [https://blog.nietaanraken.nl/posts/gitub-popular-repository-namespace-retirement-bypass/](https://blog.nietaanraken.nl/posts/gitub-popular-repository-namespace-retirement-bypass/)
+Ako su drugi repozitorijumi koristili **zavisnosti iz repozitorijuma ovog korisnika**, napadač će moći da ih otme. Ovde imate potpunije objašnjenje: [https://blog.nietaanraken.nl/posts/gitub-popular-repository-namespace-retirement-bypass/](https://blog.nietaanraken.nl/posts/gitub-popular-repository-namespace-retirement-bypass/)
 
 ---
 
@@ -358,7 +408,7 @@ Ako su drugi repozitorijumi koristili **zavisnosti iz ovih korisničkih repozito
 > [!NOTE]
 > U ovom odeljku ćemo govoriti o tehnikama koje bi omogućile **pivotiranje sa jednog repozitorijuma na drugi** pod pretpostavkom da imamo neku vrstu pristupa prvom (proverite prethodni odeljak).
 
-### Trovanje Keša
+### Trovanje Kešom
 
 Keš se održava između **izvršavanja radnih tokova u istoj grani**. Što znači da ako napadač **kompromituje** **paket** koji se zatim čuva u kešu i **preuzima** i izvršava ga **privilegovaniji** radni tok, on će moći da **kompromituje** i taj radni tok.
 
@@ -366,7 +416,7 @@ Keš se održava između **izvršavanja radnih tokova u istoj grani**. Što zna
 gh-actions-cache-poisoning.md
 {{#endref}}
 
-### Trovanje Artefakata
+### Trovanje Artefaktima
 
 Radni tokovi mogu koristiti **artefakte iz drugih radnih tokova i čak repozitorijuma**, ako napadač uspe da **kompromituje** Github Akciju koja **otprema artefakt** koji se kasnije koristi od strane drugog radnog toka, on bi mogao da **kompromituje druge radne tokove**:
 
@@ -464,13 +514,13 @@ with:
 key: ${{ secrets.PUBLISH_KEY }}
 ```
 
-### Zloupotreba samostalno hostovanih izvršitelja
+### Zloupotreba samostalno hostovanih izvršilaca
 
-Način da se pronađe koje **Github akcije se izvršavaju u ne-github infrastrukturi** je pretraga za **`runs-on: self-hosted`** u konfiguraciji Github akcije yaml.
+Način da se pronađe koje **Github akcije se izvršavaju u ne-github infrastrukturi** je pretraga za **`runs-on: self-hosted`** u konfiguraciji yaml za Github akcije.
 
-**Samostalno hostovani** izvršitelji mogu imati pristup **dodatnim osetljivim informacijama**, drugim **mrežnim sistemima** (ranjivi krajnji tački u mreži? servis za metapodatke?) ili, čak i ako je izolovan i uništen, **više od jedne akcije može biti izvršeno u isto vreme** i zlonamerna može **ukrasti tajne** druge.
+**Samostalno hostovani** izvršioci mogu imati pristup **dodatnim osetljivim informacijama**, drugim **mrežnim sistemima** (ranjivi krajnji tački u mreži? usluga metapodataka?) ili, čak i ako je izolovan i uništen, **više od jedne akcije može biti pokrenuto u isto vreme** i zlonamerna može **ukrasti tajne** od druge.
 
-U samostalno hostovanim izvršiteljima takođe je moguće dobiti **tajne iz \_Runner.Listener**\_\*\* procesa\*\* koji će sadržati sve tajne radnih tokova u bilo kojoj fazi dumpovanjem svoje memorije:
+U samostalno hostovanim izvršiocima takođe je moguće dobiti **tajne iz \_Runner.Listener**\_\*\* procesa\*\* koji će sadržati sve tajne radnih tokova u bilo kojoj fazi dumpovanjem svoje memorije:
 ```bash
 sudo apt-get install -y gdb
 sudo gcore -o k.dump "$(ps ax | grep 'Runner.Listener' | head -n 1 | awk '{ print $1 }')"
@@ -534,20 +584,11 @@ https://book.hacktricks.wiki/en/generic-methodologies-and-resources/basic-forens
 
 ## Sakrivanje tragova
 
-(Teknika iz [**ovde**](https://divyanshu-mehta.gitbook.io/researchs/hijacking-cloud-ci-cd-systems-for-fun-and-profit)) Prvo, svaki PR koji je podnet je jasno vidljiv javnosti na Github-u i ciljanom GitHub nalogu. Na GitHub-u po defaultu, **ne možemo obrisati PR sa interneta**, ali postoji caka. Za GitHub naloge koji su **suspendovani** od strane GitHub-a, svi njihovi **PR-ovi se automatski brišu** i uklanjaju sa interneta. Dakle, da biste sakrili svoju aktivnost, potrebno je da ili dobijete **suspendovan GitHub nalog ili da vam nalog bude označen**. Ovo bi **sakrilo sve vaše aktivnosti** na GitHub-u sa interneta (u suštini uklonilo sve vaše exploit PR-ove)
+(Tehnika iz [**ovde**](https://divyanshu-mehta.gitbook.io/researchs/hijacking-cloud-ci-cd-systems-for-fun-and-profit)) Prvo, svaki PR koji je podnet je jasno vidljiv javnosti na Github-u i ciljanom GitHub nalogu. Na GitHub-u po defaultu, **ne možemo obrisati PR sa interneta**, ali postoji caka. Za GitHub naloge koji su **suspendovani** od strane GitHub-a, svi njihovi **PR-ovi se automatski brišu** i uklanjaju sa interneta. Dakle, da biste sakrili svoju aktivnost, potrebno je da ili dobijete **suspendovan GitHub nalog ili da vam nalog bude označen**. Ovo bi **sakrilo sve vaše aktivnosti** na GitHub-u sa interneta (u suštini uklonilo sve vaše exploit PR-ove)
 
-Organizacija na GitHub-u je veoma proaktivna u izveštavanju naloga GitHub-u. Sve što treba da uradite je da podelite "neke stvari" u Issue i oni će se pobrinuti da vaš nalog bude suspendovan za 12 sati :p i eto, učinili ste svoj exploit nevidljivim na GitHub-u.
+Organizacija na GitHub-u je veoma proaktivna u izveštavanju naloga GitHub-u. Sve što treba da uradite je da podelite "neke stvari" u Issue i oni će se pobrinuti da vaš nalog bude suspendovan za 12 sati :p i eto, učinili ste svoj exploit nevidljivim na github-u.
 
 > [!WARNING]
 > Jedini način na koji organizacija može da sazna da su bili meta je da proveri GitHub logove iz SIEM-a, jer bi iz GitHub UI PR bio uklonjen.
 
-## Alati
-
-Sledeći alati su korisni za pronalaženje Github Action radnih tokova i čak pronalaženje ranjivih:
-
-- [https://github.com/CycodeLabs/raven](https://github.com/CycodeLabs/raven)
-- [https://github.com/praetorian-inc/gato](https://github.com/praetorian-inc/gato)
-- [https://github.com/AdnaneKhan/Gato-X](https://github.com/AdnaneKhan/Gato-X)
-- [https://github.com/carlospolop/PurplePanda](https://github.com/carlospolop/PurplePanda)
-
 {{#include ../../../banners/hacktricks-training.md}}