WPU - софт для работы с WP админками (чекер, загрузчик, инжект PHP/JS кода)

[foof1ghter]

Цена

2000$

Контакты

https://t.me/foof1ghter

Описание WPU 2.0

WPU — это многофункциональный софт для работы с админками WordPress. Возможности:

• Загрузка PHP файлов в админки 4-мя способами.
• Чекер прав доступов: делит пользователей на категории — админ, автор, редактор, участник, подписчик. Также определяет в отдельные категории админов с правами на редакторы и загрузчики тем/плагинов, а также чекает на наличие плагина filemanger, для дальнейшей загрузки шелла. Если у админа нет прав на загрузчики/редакторы тем/плагинов - то определит в отдельную категорию.
• Чекер наличия шопа WooCommerce на сайте и сбор данных об ордерах.
• Инжект JavaScript и PHP кода в файлы тем и плагинов.
• Инжект скрытых админов, для закрепления ваших доступов! Данная задача работает автономно, инжектит и проверяет.
• Инструкция под Linux (Debian), опционально имеется возможность настроить работу через TOR домен.
• Написан на Python (asyncio + curl_cffi) и PHP (Laravel). Весь проект open source.
• English version available (including README and manual).

Основные фичи WPU 2.0

• Распознавание и решение капч: 3 математические каптчи, Cloudflare Turnstile, hCaptcha, reCAPTCHA v2, reCAPTCHA v3
• Обход WAF: от Cloudflare, Imunify360 и др. Новый подход, а также использование соответствующих библиотек, позволяет отправлять запросы к серверу, используя принцип impersonate. WAF не смогут отследить, что к ним обращается ПО, поскольку impersonate выдает нас за реального пользователя.
• Глубокие настройки: на повторные попытки загрузки, проверок, смены прокси, лимиты и другие настройки (можно как быстро проходить большие базы с низкими лимитами, так и медленно обрабатывать мелкие базы)
• Текущие методы загрузки:
  • PHP файл под видом zip плагина
  • Плагин
  • Тема
  • Установка плагина типа filemanager (если не было), загрузка, удаление плагина (если не было)
• Рандомные имена: Плагины, темы и файлы загружаются под случайными именами (сгенерировано из топ 1000 названий). Если тема или плагин с текущим названием уже существует — загрузится под новым.
• Чекер прав доступов: Подробнее ниже
• Инжект JS кода: в файлы активных тем и плагинов
• Сохранение списков админок: Сохраняются списки успешных админок и тех, где больше не стоит пытаться (critical error, нет прав админа, сообщение о скомпрометированном пароле и т.д.). При повторных загрузках такие пропускаются.
• Подробное логирование: Логирование по каждому сайту с возможностью сохранения всех HTTP ответов (тела и заголовков) по желанию.
• Realtime обновление статы: Отображение скорости работы, успешных результатов и других метрик в реальном времени, а также удобная админка.
• Поддержка больших баз: Без ограничений на объём данных.
• Отключение плагинов безопасности: Автоматическое отключение списка из 40+ популярных плагинов безопасности (также можно указать свои плагины).
• Обновления по кнопке: В админке можно обновить систему нажатием одной кнопки.
• Прокси-сокс чекер: Чекер прокси-серверов по крону, парсер публичных сервисов (собирает 300-600 штук). Прокси обновляются в процессе работы.
• Мануал и инструкции: Подробные инструкции по использованию и установке доступны в админке.

Фичи инжекта JS

• Для проверки успешности загрузки нужно указывать строку для проверки.
• Инжект только в проверенные базы с правами админа (используется встроенный чекер).
• WPU автоматически выполнит инжект в новые аккаунты с правами админа, если включить эту опцию. Настроив инжект 1 раз, можно просто подкидывать новые базы.
• Автономный чекер вашего JS кода работает по крону, с гибкими настройками.
• Автономный перезаливщик JS кода, если его удалили.
• Код, не найденный через чекер, будет удалён не сразу, а через указанный промежуток времени (если сайт временно не отвечает или в случае сетевых ошибок).
• Автоочистка плохих результатов через указанный промежуток времени.
• Возможность создания задачи на удаление ранее загруженного JS кода.
• Инжект JS кода в посты с использованием XMLRPC! Для инжекта в посты через XMLRPC не обязательны админ-права (можно инжектить с правами редактора, автора).

Фичи инжекта PHP

• Инжект кода позволяет ему работать на всём сайте.
• Для проверки успешности загрузки используется запрос с cookie.
• Инжект только в проверенные базы с правами админа (используется встроенный чекер).
• WPU автоматически выполнит инжект в новые аккаунты с правами админа, если включить эту опцию.
• Автономный чекер вашего PHP кода работает по крону, с гибкими настройками.
• Автономный перезаливщик PHP кода в случае его удаления.
• Код, не найденный через чекер, будет удалён не сразу, а через указанный промежуток времени.
• Автоочистка плохих результатов через указанный промежуток времени.
• Возможность создания задачи на удаление ранее загруженного PHP кода.

Фичи чекера доступов:

• Определяет права аккаунтов и сохраняет по спискам: админ, автор, редактор, участник, подписчик
• Сохраняет по спискам также результаты, где: удалось залогиниться, не удалось залогиниться, сайт сломан (critical error), не подходит пароль
• Собирает информацию, если на сайте есть магазин WooCommerce и информацию с шопа (количество ордеров всего, за месяц, гео и т.д.).

Гибкие настройки

• Основные
• Загрузчик
• Чекер
• Инжект JS
• Инжект PHP
• Настройки HTTP
• Настройки Proxy

Есть одноименная тема (c отзывами) на exploit.in.

Переустановки, любые консультации и помощь включены. Цена за год обновлений. Через год обновления перестанут быть доступны, всё остальное останется рабочим.

2000$ /год:

• Цена за год обновлений
• Открытый код, с комментариями
• Добавим любые ваши фичи и пожелания (в порядке очереди). Бесплатно, если это будет полезно кому-то еще или улучшит пробив.
• Любые консультации по сливу траффа (готовые шаблоны для JS/PHP инжекта и синхронизации с кейтаро) и монетизации

Контакты:

jabber:

• planbsoftware@exploit.im
• planbsoftware@thesecure.at
• foofighter@thesecure.at (второй кодер)

TOX:

• 6289180988455FEAD792EEC0CB31FE1421136D98A718BF6A74B9E9EA4E98B461F14EC0E0A3A5
• 3B3D2F9D1C84B57C6F00619F5FEA073F9A7F6B36F995DF446E257DE26A28BC6BF185413649BD (второй кодер)

Telegram:

• https://t.me/BorisBritvaSoft
• https://t.me/foof1ghter

 

[foof1ghter]

Скриншоты интерфейса WPU:

 

[k0000t]

Покупал чуть меньше года назад, сейчас обратился - выдали новую версию всё настроили, пользуюсь, всё устраивает, сапорт всё расскажет и покажет

 

[foof1ghter]

Обновление 2.0.1:

Фикс чекера woocommerce

Обновление 2.0.2:

1. Были добавлены рандомные имена для бэкдоров, для всех способов загрузки;
2. Баг фикс с js_cleaner;
3. Убрана база "Ограниченные права админа", поскольку туда они могли попасть из-за плохих прокси. Теперь WPU будет пытаться в них загружать/инжектить;
4. Загрузчик плагинов теперь может обновлять загруженный ранее вами плагин. Полезно для тех, у кого изменился код плагина.

 

[jassteewr]

fix - (сами разбирайтесь)

 

[foof1ghter]

Версия 2.1.0:

В данном обновлении был добавлинг постинг статей на доступах. Особенности постинга:

1. Имеется возможность постить указанное количество постов на доступ.
2. Возможность скрытого постинг! Админ не увидит ваших постов в панели (только если зайдет в базу данных). Также посты не отображаются на сайте в разделе "Недавние".
3. Рандомные даты для постов. Вам только нужно указать насколько максимально старыми могут быть посты.
4. Возможность генерации контента при помощи OpenAI API!
5. Возможность указать определенное количество текстов для генерации.
6. Поддержка постинга в виде html-верстки, спинтакса (можно комбинировать html-верстка + спинтакс).

 

[foof1ghter]

Версия 2.1.1:

В данном обновлении:

1. Фикс чекера + еще один способ определения прав админа. Процент пробива стал еще больше, еще более тяжелые случаи теперь может обработать WPU;
2. Добавили возможность инжекта JS кода по ссылке (актуально для тех, кто использует морфер);
3. В постер добавили возможность загрузки zip-архива с заранее сгенерированным контентом

 

[foof1ghter]

Версия 2.1.2:

В данном обновлении:

1. Баг фикс чекера;
2. Добавили возможность добавлять прокси списком в панели (Настройки - Прокси). Теперь есть 3 типа прокси - встроенный чекер, внешний источник и прокси лист.
3. Обновлено руководство. Рекомендуем ознакомиться;
4. Добавлен еще один способ постинга статей на доступах (используем REST API, помимо XMLRPC);
5. Исправлен перевод на английский.

 

[foof1ghter]

Версия 2.1.3:

1. Добавили возможность работы WPU с нестандартными страницами логина. Если ваша база имеет таковые строки, то WPU их обработает. Иначе - WPU просто будет работать с дефолтной страницей /wp-login.php.
2. Баг фиксы, небольшие обновления чекера

 

[foof1ghter]

Версия 2.1.4:

В данном обновлении реализовали возможность чекать, загружать php-файл, загружать плагин, постить статьи на конкретном домене. Для этого вам необходимо при создании задачи, выбрать базу и вписать домен из этой базы, с которым вы хотите работать. Можно указывать неограниченное количество доменов, в рамках выбранной базы. Каждый домен должен быть указан с новой строки.

 

[foof1ghter]

Версия 2.1.5:

1. Добавили возможность создавать задания по "Сборным базам" из ранее добавленных баз. Например, вы хотите прогрузить/прочекать/запостить по конкретному домену, но не помните, в какой он базе. В таком случае, выбирайте "Сборная база" и вводите список нужных вам доменов;
2. Изменили логику работы инжекта "скрытых админов";
3. Для постинга теперь можно добавлять .zip-архив с .html и .txt файлами.
4. Баг фикс модуля wp-login.

 

[foof1ghter]

Актуальные контакты для связи в телеграм:

https://t.me/PlanBsoftware
https://t.me/foof1ghter

 

[foof1ghter]

Версия 2.1.6:

Багфикс чекера

 

[foof1ghter]

Версия 2.1.7:

1. В постинге теперь необходимо указывать имя проекта. Можно указать, сколько доменов взять в работу. При указании того же что и раньше проекта, предыдущие использованные для этого проекта домены будут пропущены (и гуды и бэды). Доступна таблица вида проект : количество использованных
2. При загрузке плагина теперь результаты неудач указаны более подробно.
3. Изменили логику работу чекера, теперь чекер прав использует xmlrpc, чтобы определить роль. Иначе, если xmlrpc недоступен, WPU будет определять роль через панель. В чекере теперь есть отдельный аккордеон, в котором представлены аккаунты с админ-правами, которые были определены при помощи xmlrpc.
4. Небольшие багфиксы.

 

[foof1ghter]

2.1.8

Багфикс 2.1.7: если при просмотре результатов задачи чекера была ошибка, значит были найдены неизвестные ранее роли через запрос xmlrpc.

Касается не стандартных ролей, типа administrator, а ролей от плагинов (типа voter, customer, seo_manager).

Теперь они в результатах в оригинальном виде.


2.1.9:

При создании задачи на постинг теперь можно выбирать старый проект из списка.

Багфиксы:

1. использование "Сборной базы" при создании задачи загрузки плагина
2. при импорте базы теперь задание на чек создается корректно, после добавления всей базы
3. При импорте базы теперь выводится количество реально добавленных строк (без дублей)
4. При импорте базы для строк вида https://domain.com/path/ добавляется 2 строки, как https://domain.com/path/ так и https://domain.com/path/wp-login.php

Переработан постинг плагинов:

1. улучшение пробива
2. подробные списки неудач
3. при создании задачи можно указывать подстроки для поиска в slug/пути плагина/названии плагина для деактивации и удаления своих старых (или чужих известных) плагинов

 

[foof1ghter]

2.2

При постинге теперь можно поставить галочку, чтобы первая строка из файла использовался как название поста

2.2.1

Багфиксы чекера, постера, загрузчика плагинов. На больших базах могли работать совсем плохо после последних обновлений.

График прокси теперь показывает статистику количества прокси. Рабочих (если после чекера) или суммарно из списка "Список прокси".
На графике обновляется инфа раз в 5 минут, в заголовке "Прокси: цифра" раз 3 секунды.

 

[mrkarabas]

Приобрел полный пак инструментов месяц назад, все отлично
Радует, что учитывают пожелания по работе и автоматизации

 

[foof1ghter]

2.2.2

Переделан класс для HTTP запросов, количество недоступных стало меньше.

Улучшение пробива для постера и загрузчика плагинов (теперь если за 5 минут не удалось войти меняя прокси, пробует еще раз, как и было раньше).

Багфиксы:

не работала сборная база (все акки) при создании задач чекера, загрузки

 

[foof1ghter]

2.2.3

Переработан постер:

1. теперь в первую очередь скрипт пробует постить через xmlrpc (если для этого есть права и xmlrpc был определен как рабочий)
2. потом если права админа и включен скрытый постинг - пробует залогиниться и установить плагин для скрытых постов, ну и постить (если не удалось через xmlrpc)
3. добавлен просмотр использованных доменов под проект постинга (как хороших - где удалось запостить, так и плохих - где не удалось)
4. можно удалять домены, где не удалось запостить (чтобы прогонять проект еще раз по неудачным доменам)

Ускорена загрузка страницы Базы

В скрипт закерпления скрытыми админами добавлена защита от повторного запуска (чтобы не запускался новый, пока работает старый hidden_admins.py)

Багфиксы:

1. антикапча стала работать асинхронно (скорость с её использованием увеличится)
2. логи сохранялись в БД в любом случае
3. чекер не работал со сборной базой
4. восстановлена работа hidden_admin_checker

 

[foof1ghter]

2.3

Улучшена работа с БД.

Переработан чекер:

1. Добавлены переводы на 131 языков ошибки неверного пасса в чекере xmlrpc + переводы сообщения об отключенном xmlrpc.
2. Права теперь определяются через xmlrpc, и не выполняются дополнительные запросы в админке, если удалось определить через xmlrpc.
3. Добавлены переводы на 124 языка в ошибку неверного пасса при логине в админку (должны пропасть админки, которые шли в "Неверный пароль" ошибочно при ошибках вроде неверной капчи).
4. Добавлена/исправлена работа с 2 капчами (wpcaptcha built in math и captcha code built in).
5. Скорость чека увеличена.

Загрузчик плагинов:

1. при обновлении плагина не находилась ссылка активации, в итоге обновленные плагины не активировались;
2. больше инфы в статусе задачи.

Постер контента:

1. скрипт мог вылетать;
2. увеличена скорость работы;
3. больше инфы в статусе задачи;
4. немного улучшена верстка;
5. при просмотре проекта (использованных доменов) добавлена возможность удалять плохие (чтобы попытаться запостить на них еще раз);
6. Посты теперь постятся уникальные на каждый домен: например в пачке 1000 постов, при запуске задачи если доменов больше, то будет загружено только 1000 доменов (по 1 посту на каждый домен);
7. Посты будут помечены как использованные. На тех доменах где запостить не получится, посты будут "освобождены" для дальнейшего постинга их;
8. Можно постить как раньше (рандомные посты) - для этого поставьте чекбокс в Настройки - Общие - Постить рандомные посты из пачки;
9. Переработано добавление постов: теперь добавляется архив, из него посты попадают в БД. По умолчанию первая строка будет идти в название, остальное отделяться и поститься;
10. Чтобы название генерировалось из шаблона spintax, укажите его в "Шаблон заголовков" при добавлении пачки постов;

В скрипты чекера/загрузки плагина/постера добавлено в обновление статуса: скорость в сайтах в минуту (Например, 160 spm). Туда же информация о Pending SQL (количество запросов к БД в очереди).

На главной странице добавлен вывод баланса 2captcha, обновляется раз в 30 секунд.

Рефактор модуля логина, багфикс незначительных багов, улучшена логика входа в аккаунты.