http://ardullm.i2p/
Авторизация через ирку, фри. На какой-то англоязычной борде цепанул, не то на эндчане, не то на битчане, не помню уже сейчас.
Тебе может быть это интересно, аноним.
Пиздец, братия и сестры.
Я смотрю проектов для безопасного децентрализованного обмена сообщениями развелось дохуя.
Лебедь рак и щука, пацаны.
Мораль думойде зами ээээ
Буду первым кто отпишет. Буду сюда иногда закидывать полезные проги с гитхаба
Аноны, посоветуйте дистрибутивы на основе Арча.
Не хочу ебаться с этими командами, скриптами и т.д., хочу через интерфейс настроить и сидеть.
Чё-то прошлый пост вы не оценили.
Буду говорить вам как познать мудрости.
Ты бля крч берёшь дистрибутивы начальные, Pop OS, Manjaro, Mint, на крайняк Debian, а уж как освоишься, то до Arch и Nix дойдёшь, а как их освоишь, переходи на Archcraft и Void, и уже как освоишь их, то финалом будет Gentoo.
На Kali внимание даже не заостряй, без навыков и тулзов он бесполезен, как и Tails емли ты пытаешься его юзать на постояннке.
Что с ним и какую почту, окромя mail.ru, юзать?
Cock.li E-mail Hosting
Official Broadcast
15 June 2025
Roundcube RCE Enabled By Code It Still Uses From 2005 PHP.net Post
------------------------------------------------------------------
Also: Updates on the Future of Webmail
A recent vulnerability in Roundcube, the webmail software cock.li uses,
has been exploited by hackers to obtain remote code execution on
thousaunds of web servers running this e-mail software. This exploit was
sold on hacking forums and has now been made public.
After quarantining the relevant server and investigating the damage, we
discovered that... the vulnerability does not appear to be exploitable
on 1.4.15 and 1.4.x, despite public reports to the contrary. The data we
quarantined showed no signs of intrusion or successful exploitation.
So, our lazy decision to run this end-of-life branch saved us this time,
but it could have easily gone different. We will learn carefully from
this near miss.
Not to excuse the delay in updating you, we have been investigating this
vulnerability, the security of Roundcube, and our options for the future
of webmail on cock.li. All your questions will now be answered.
TECHNICAL FINDINGS
------------------
The original research[0] of CVE-2025-49113 points out this particular
line in rcube_session.php: function unserialize() (line 539):
[0] <https://fearsoff.org/research/roundcube>
513 /**
514 * Unserialize session data
515 *
https://www.php.net/manual/en/function.session-decode.php#56106
516 *
517 * @param string $str Serialized data string
518 *
519 * @return array|false Unserialized data
520 */
521 public static function unserialize($str)
522 {
523 $str = (string) $str;
524 $endptr = strlen($str);
525 $p = 0;
526
527 $serialized = '';
528 $items = 0;
529 $level = 0;
530
531 while ($p < $endptr) {
532 $q = $p;
533 while ($str[$q] != '|') {
534 if (++$q >= $endptr) {
535 break 2;
536 }
537 }
538
539* if ($str[$p] == '!') {
540 $p++;
541 $has_value = false;
542 } else {
543 $has_value = true;
544 }
545
546 $name = substr($str, $p, $q - $p);
547 $q++;
The author makes a couple observations:
1. There is nothing about this function or an "!" in the link provided.
2. What the hell is "!" doing there anyway?
Without knowing its origin, the author correctly points out the lack of
bounds checks on the condition which (when provided with an unsanitized,
user-provided value..) allows for the object insertion and RCE reported.
To operate the link provided, and to truly understand the issue, you
will need to go back. WAY back. Ahem.
<https://web.archive.org/web/20050830233915/https://www.php.net/manual/e
n/function.session-decode.php>
Yep. Someone writing from a french public e-mail host wrote this in 2005
and Roundcube has been running it since 2009. See:
<roundcubemail#617b4f699f>. The author is "svncommit" and apparently the
subversion repository went private in 2006.
Is that all? Nope. Apparently the use case for this function is to fix
an issue present in 2005 PHP's native session_decode() handling of
"reserved chars", as well as to allow deserialization of data outside of
sessions. It's unknown if that issue is still present 20 years later.
Instead of getting lost in the sauce here, let's answer the other
question: What is "!" doing there?
To do that, we'll turn to PHP's source code. in
<php#master>ext/session/session.c, there's no mention of it anymore.
PHP now uses binary decoding only and has PS_BIN_UNDEF:
981 #define PS_BIN_UNDEF (1<<(PS_BIN_NR_OF_BITS-1))
But when you roll back the clock to around the time this function was
added<php#525f3c4793a6>, you see it there:
761 #define PS_UNDEF_MARKER '!'
So "!" is actually PS_UNDEF_MARKER and denotes a null value. This same
name was used in the 2005 php.net post, but it was replaced with a
static value in Roundcube. Otherwise, PS_SERIALIZED_DECODE_FUNC follows
nearly identically with the PHP code above.
And so, does this commit of PHP have the same vulnerability? Yes, it
does. Reported as CVE-2010-3065 and MOPS-2010-060: PHP Serializer
Session Data Injection Vulnerability, this same issue was fixed on
2010-04-26 at <php#3c78ad763ebb>, and released in PHP 5.2.14 and 5.3.3.
Turning back to Roundcube, how close is the current unserialize()
function to the 2005 reproduction?
The loop style, capitalization, indentation, and spacing has all been
changed. "!" and "|" are written inline. Syncing all of that up is a
painstaking process but yields the following diff between roundcube's
unserialize($str) and bmorel's 2005 session_real_decode($str):
32c32
< switch (strtolower($str[$q])) {
---
> switch ($str[$q]) {
47c47
< $serialized .= 'R:' . (intval($id) + 1) . ';';
---
> $serialized .= 'R:' . ($id + 1) . ';';
82c82
< return unserialize('a:' . $items . ':{' . $serialized . '}');
---
> return @unserialize( 'a:' . $items . ':{' . $serialized . '}' );
So, roundcube's unserialize function is functionally the exact same as
this 2005 reproduction with the following improvements:
1. Type identifiers are cast to lowerstring
2. Reference values are cast to integers
3. Error reporting is uninhibited
4. "!" and "|" are written inline instead of assigned to variables like
PS_UNDEF_MARKER
Well, with that out of the way we can now finally tell a more complete
story of the issue.
Drumroll please................
Roundcube's CVE-2025-49113 happened because 1.5.x and 1.6.x got a shiny
new unsanitized user input "_from", which got passed to
rcube_session.php:unserialize(), a 2005 rehash of PHP's own
session_decode() added to Roundcube by "svncommit" in 2009. The version
of PHP the rehashed function was based on is vulnerable to
CVE-2010-3065, and the rehashed function in Roundcube was never updated.
PHP now uses binary serialization only, and Roundcube added sanitization
to prevent the vulnerable code from being exploited.
WHERE IS WEBMAIL?
-----------------
Cock.li will no longer be offering Roundcube webmail. Regardless of
whether our version was vulnerable to this, we've learned enough about
Roundcube to pull it from the service for good.
Another webmail is definitely on the table, but it is not an immediate
priority for us. Maybe we'll get the one with the squirrel on it. Until
then, it's time for you to learn a mail client.
Good luck,
Cock.li Administration Team
official-contact // cock.liкакие дистрибутивы юзаете? как и нахуя? какие посоветуете для омномнимности? я лично котирую артикс и никсач ибо остальные дистро как то не вкатывают.
Что лучше взять на замену телеграму, если его блокнут? Хочу использовать анонимный мессенджер, и чтобы он был на ios+win+android+linux
Аноны, записываем как создавать чат в OninoShare.
Первым делом, качаем софтину и в настройках ставим, чтобы программа подсасывала подключение из браузера.
Включаем Tor браузер, после чего в проге нажимаем "Проверить подключение". Если подключение есть, нажимаем сохранить и переходимся к созданию чата.
Выбираем "Начать анонимный чат", после загрузки копируем ссылку и ключ. Даём нашему собеседнику ссылку и ключ и радуемся жизни. Таким же макаром запускаем раздачу сайта и хост сайта, если вам нужно. Вот и всё! Если кто-то хочет, подключайте свои чаты, кидайте в тред, пообщаемся.
Долго вис на urxvt, потом отметил подтормаживания, решил перелезть на xterm - казалось бы, минимальный, по умолчанию, но всё равно медленно отрисовывает контент.
Реквестую быстрый лёгкий терминал - чем быстрее и легче, тем лучше. Свистоперделки вроде табов и всплывающих менюх не нужны, а вот цвета и шрифты нужны.
Накидай в комментариях, анон, чем пользуешься. Спасибо.
Кидаем свои сетапы линуха (кросивые)
Линукс - это магия. Выучишь Линукс сегодня - станешь великим. Выучишь какой-нибудь ЯП - будешь ахуенным. Освоишь тулзы с гитхаба - станешь богом. Откажись от аккаунтов в соц.сетях, которые собирают твои данные. Никаких валидов или личных аккаунтов. Стань цифровой легендой, способной уничтожить любого, способный делать добро при помощи самописного софта, стань тем, кто сможет изменить интернет уже сегодня.
Поднимай локалки, поднимай IRC, общайся в OnionShare, познавай I2P, помогай людям в Ygg, распространяй контент в Freenet, анонимизируйся через Tor, и помни, Ты - Анон.
Делюсь своими ощущениями по поводу пользования Tor для захода в интернет. Пользуюсь я схемой Outline VPN + Tor. Схема, вроде как, надёжная, скорость даже при таком раскладе выше через в I2P. Что мешает, так это сжатое окошко, через которое ты смотришь как через лупу, хотя и сделано это в угоду анонимности. Что порекомендую от себя, так это добавить какой-нибудь плагин в Tor браузер для спуфинга юезрагента, и даже если вас спалят, то условно будет видно, что вы сидите с Chrome на Windows, что является самым стандартным набором любого интернет юзера который не париться ни о чём.
Передача файла
С 2020 по 2025 люди научились передавать информацию
1 Через Bluetooth - мой любимый способ, вроде должен прокатывать на тех кого видно
2 Через WiFi тут файл сервер
3 По рациям тут "генерация" или голос
4 Через радио модем "тут только генерация"
5 BlueTooth LE тексты, аудио - широкого круга, тоже выгодно станет :)
Как сделать модульную систему которая будет высматривать всех и посылать тем кому мне удобно, выборочно или автоматом?
Шалом акбар, православные буддисты. Собсна, интересуют отзывы если кто юзал сие творение сумрачного гэнийа. там также глухо как в ш2з?
Сап борда. Нашел на постмане охуенейший торрент с гайдами по аналнимности, и ПК под рукой у меня недельку не будет так как я в отъезде, и я хочу скачать на мобилу торрент. Как это сделать? Есть торрент клиент biglybt и у него в настройках есть ш2з, но не работает нихуя. На луначе пидарасы никто не отвечает
Аноны, умудрился я значит скачать ш2з на андрюшке с горе пополам через термух. Если есть такие же любители анонимности как я можете покидать интересные статьи по анонимности? Клирнет/тор/ш2з/иггдрасиль подойдут
Возможно, не лучшим решением будет собрать все в одну кучу, но учитывая, что на момент создания треда борда очень молода - почему бы и нет. Тем более, разбить на отдельные треды всегда успеем
"1. ОС на базе ядра linux"
ТЫСЯЧИ ИХ, анон!
ПЛЮСЫ:
1. Довольное некуцая поддержка железа и периферии, позволяющая не так уж и сильно задумываться о нюансах выбора железа (с оговорками ессно).
2. Можно рубиться в компьютерные игры с производительностью сравнимой, с тем что выдает Windows 10/11, а нередко - превышающей таковую. Гугли - proton,wine, lutris и аналоги последнего.
3. Куча софта свободного разрабатывается, зачастую, изначально под linux, а уже потом портируется на другие свободные ОС.
4. Идеологически-философский. Приличная, если не большая часть софта лицензируется под GPL, в противовес пермиссивным лицензиям (что дико радует ОП, согласного с тезисом о куколдскости данных лицензий на СПО https://lukesmith.xyz/articles/why-i-use-the-gpl-and-not-cuck-licenses/)
МИНУСЫ:
1. В соответствии с видением Free Software Foundation и дедушки Столлмана ядро Linux и ряд софта (включая некоторые из часто применяемых драйверов) - нарушают GPl-лицензию, включением в исходники элементы обфусцированного кода и позволяя линковку с закрытыми блобами.
Существует ряд дистров (на базе linux-libre ядра), лишенных сего недостатка, но за работоспобность всей твоей комбинации железа никто не ручается.
2. Ядро монолитное, а не модульное (но с поддержкой подгружаемых модулей) - впрочем, редко кто на это вообще жалуется.
"1. Cвободные потомки BSD UNIX"
Сюда входят - FreeBSD, OpenBSD, NetBSD и различные васянки разной степени годности на их базе.
ПЛЮСЫ:
1. Разработчики данных ОС открыто тяготеют к использованию пермиссивных лицензий - что позволяет делать на основе данных ОС проприетарные прошивки для тех же Nintendo Switch, Playstation. + MacOS частично основывается на коде от FreeBSD.
2. Модульное ядро
3. В ряде аспектов - архитектурно проще систем на базе ядра Linux.
МИНУСЫ:
1. см. пункт 1 п.п. пункта ПЛЮСЫ
2. Отчасти, вытекает из п.п.3 пункта ПЛЮСЫ. У человека, вкатившегося в BSD-системы из линукса может сложиться ощущение того, что эти системы отстают от последнего 5-10 по фичам/функционалу/наличию свистоперделок + требуют немного больше красноглазия для освоения и настройки.
3. Приличная часть софта под BSD-системы портируется из линукса, включая драйвера для видимокарточек и ряд окружений рабочего стола, что может сильно огорчить новоприбывшего - ибо портируется обычно из не самых свежих версий, и осложняется "прибиванием" возможностей некоторых софтин к специфике ядра Linux и используемых систем инициализации в linux-дистрибутивах.
"3. Заслуживают внимания/упоминания"
3.1 Haiku OS - свободная реинкарнация BeOS.
3.2 Temple OS и Zealot OS - лонг, бат кул стори.
3.3 Minix - отчасти, источник вдохновления, Линуса Торвальдса при написании первых версий ядра Linux.
Какой даун делал этот топ? Дебиан поставить на первое место, Артикс в уникальных, Манджаро и Кали в бесполезных. Может я чего-то не понимаю, но тут всё намекает на то, что автор даже половиной дистрибутивов не пользовался никогда.
Ананас, просвяти относительно сабжа простыми словами. Чего-то подумал, что не царское это дело obfsки руками обновлять, пускай бездушный робот с мостами разбирается...
Гораздо продуктивнее оказалось конфигурировать privoxy не по принципу "по умолчанию весь трафик напрямую, исключения вбиваю руками", а строго наоборот: "по умолчанию весь трафик завэпээнен, то что надо пустить напрямую или пустить по другим проксям - вбиваю в явной форме руками".
То есть первой строчкой в forward-списке вбиваю "forward . моё_вэпене:ево_порт", потом пустил впрямую зону .ru - "forward .ru .", и запроксил ш2з - "forward .i2p 127.0.0.1:4444". Вручную доуказал недозаблоченные РКНом штучные .оrgи/.comы/.netы, и... всё.
Конфиг при таком подходе похудел на 105 строчек, между прочим.
У вас админ совсем кукухой поехал после двухдневного запоя
Мало что могу сказать, в основном от других дистрибутивов по производительности не отличается, работает вроде стабильно, но чего-то эдакого на нём нет. Скучный дистро, если честно.
Да, простой в использовании, но хуй знает чё с ним ещё делать.
Доброго.
Вот есть http://howto.ygg.at/ . Он - просто выхлоп в клирнет сайта http://[222:a8e4:50cd:55c:788e:b0a5:4e2f:a92c]/ .
"зону" ygg.at, доступную из клирнета, сайту предоставляет опять-таки Yggdrasil.
Вопрос - а я смогу чисто теоретически упилить какой-нибудь zaraznik.ygg.at?
И, чисто теоретически, какую бы херь я не нёс на этом сайте, взять и повелеть "провайдеру" вышвырнуть меня на мороз никакой условный РНК не сможет, и я, воздерживаясь от публикации деанонимизирующей информации, могу себя при этом чувствовать более-менее "в домике"?
Мобильный интернет, сабж. Не всегда, но часто после определённого какого-то времени все три сервиса напрочь отваливаются, перезапускай-не перезапускай - ни один скрытый сайт не открыть. Это маёрская глушилка по таймеру включается где-то рядом или что-то в этом роде?
Когда по земле бегали мамонты, были достаточно популярны раённые/городские DC++ локалочки с чатиками и шарами. Причём при неуплате провайдеру денег и отключении им моего компьютера от "большого" интернета DC++-локалка не отваливалась: все чатики и шары продолжали функционировать.
Интересуюсь, как в этом плане дела обстоят у I2P и YGG. Им обязательно надо выход в "большой интернет", или им годится "выход хоть куда-нибудь, а там по обстановке"?
Ребята, есть какой-то способ поставить arischan, lainchan на AnonHosting или FreedomHosting?
На крайняк даже на какой-нибудь бесплатный хост в клире, вообще похуй. Ебусь уже который день, и нихуя не работает, даже Vercel. Я ваше граммирование рот топался.
Захожу на сабж под сабжем и вижу:
403 Denied
Inproxy access denied. You must run I2P to access this site.
Мнения?