WPU - загрузчик файлов в админки WP / Wordpress Admin Uploader

  • Thread starter jessiepinkman
  • Start date
J

jessiepinkman

  • #1
WPU - загрузчик файлов в админки WP / Wordpress Admin Uploader

Устанавливается на ваш сервер, работает через TOR домен. Написан на Python (пока gevent + requests) + PHP (laravel). Весь код открыт.​

English version available (+readme + manual)

Основные фичи:
  • Распознавание капч: hCaptcha, reCAPTCHA v2, reCAPTCHA v3
  • Обход WAF от Cloudflare, imunify360
  • Глубокие настройки на повторные попытки загрузки, чека, смены прокси, лимиты и т.д. (можно как проходить быстро большие базы с низкими лимитами, так и долбить мелкие базы долго)
  • Текущие методы загрузки:
    • PHP файл под видом zip плагина
    • плагин
    • тема
    • установка плагина типа filemanager (если не было), загрузка, удаление плагина (если не было)
  • Плагины, темы и файлы загружаются под рандомными именами (спаршено по топ 1000 названий)
  • Если тема или плагин с текущим названием уже есть - зальётся под новым
  • Сохраняются списки админок когда-либо успешных, и там где нет смысла больше пытаться (critical error, нет прав админа, сообщение при входе где пароль скомпрометирован и т.д., при повторных загрузках такие пропускаются)
  • Подробное логирование по каждому сайту (вплоть до сохранений всех HTTP ответов тела+заголовков по желанию)
  • Обновление статы realtime (скорость, гуды и т.д.) и удобная админка
  • Поддержка любых объемов баз
  • Обновления по кнопке в админке
  • Прокси-сокс чекер по крону + парсер паблик сервисов (собирает 300-600 штук), в процессе работы прокси обновляются
  • Мануал по использованию в админке и инструкции по установке

Ближайшие планы
  • Чекер админок со статой ордеров woocommerce (+ другая стата, уже реализован, будет внедрен после тестов)
  • Переписывание на curl_cffi (async + обход Cloudflare и других WAF через рандомизацию TLS Fingerprints)
  • Добавление эмуляции браузера (selenium) для обхода самых запущенных случаев защит
  • Инжект вашего JS кода в текущую тему для слива трафа или установки снифферов (с перепроверкой по крону снесенного кода)
  • Постинг статей в админки без (или с) правами админа
  • Загрузка нескольких файлов в каждом архиве с темой\плагином
  • Генерация уникальных PHP бэкдоров для загрузки

Добавлю любые ваши фичи и пожелания (в порядке очереди). Бесплатно, если это будет полезно кому-то еще или улучшит пробив.
В целом есть желание и возможности создать лучший софт для этой задачи (по отзывам бета тестеров так и есть уже)
Любые установки\переустановки на ваши сервера или консультации по удаленной установке.
Прогоню для теста вашу базу.

Цена на старте: $2000 за год обновлений и поддержки. Код открыт, с комментами :) Торга и скидок нет. В зависимости от спроса цена может меняться. В будущем софт может быть переведен на аренду.

Любые консультации по сливу траффа (готовые шаблоны для JS\PHP инжекта и синхронизации с кейтаро) и монетизации по мере сил и наличию опыта.


Контакты

 

Attachments

  • image_2024-02-14_215921525.png.415e3ccc3a963fb2b371fc590d0bf4b2.png
    image_2024-02-14_215921525.png.415e3ccc3a963fb2b371fc590d0bf4b2.png
    128.9 KB · Views: 5
  • image_2024-02-14_215943798.png.0d6af4632dca178301fc6e7eef0f3632.png
    image_2024-02-14_215943798.png.0d6af4632dca178301fc6e7eef0f3632.png
    279.9 KB · Views: 5
  • image_2024-02-14_220012742.png.b7eac85d0dfb2fa4250207b57d49067b.png
    image_2024-02-14_220012742.png.b7eac85d0dfb2fa4250207b57d49067b.png
    473.9 KB · Views: 5
  • image_2024-02-14_220030851.png.e8092588b652cb9366b5e2196bac8e75.png
    image_2024-02-14_220030851.png.e8092588b652cb9366b5e2196bac8e75.png
    378.4 KB · Views: 5
  • image_2024-02-14_220106127.png.6c67df94232484cad62f69a19abe3283.png
    image_2024-02-14_220106127.png.6c67df94232484cad62f69a19abe3283.png
    171.1 KB · Views: 5
  • image_2024-02-14_220119273.png.836936cc3a4f2969144f22c6d01cbf8a.png
    image_2024-02-14_220119273.png.836936cc3a4f2969144f22c6d01cbf8a.png
    204.1 KB · Views: 5
J

jessiepinkman

  • #2
Добавлен чекер админок. Тянет любые объемы. Определяет права акков и сохраняет по спискам:
  • админ
  • автор
  • редактор
  • участник
  • подписчик

Сохраняет по спискам так же результаты где:
  • удалось залогиниться
  • не удалось
  • сайт сломан (critical error)
  • не подходит пароль
Собирает инфу при наличии шопа woocommerce.

Пока результаты примерно в таком формате (админка | ордеров всего | ордеров завершено | еще инфа в JSON):

http://domain@@@user@@@password | 220 | 218 | [{"GEO": "Pakistan - Punjab"}, {"LAST": "March 1, 2024 6:59 am"}, {"CURRENCY": "P
(\u20a8)"}, {"PAYMENTS": {"Cash on delivery": "Yes", "Direct bank transfer": "Yes", "JazzCash": "Yes", "Check payments": "No"}}]
http://domain@@@user@@@password | 6 | 2 | [{"GEO": "United States (US) - New York"}, {"LAST": "04/03/2022 9:47 AM"}, {"CURRENCY": "United States (US) dollar ($)"}, {"PAYMENTS": {"Direct bank transfer": "Yes", "Check payments": "No", "Cash on delivery": "Yes", "Waiting payment": "Yes"}}]
http://domain@@@user@@@password | 15 | 0 | [{"GEO": "United States (US) - California"}, {"LAST": "December 21, 2023 12:26 pm"}, {"CURRENCY": "United States (US) dollar ($)"}, {"PAYMENTS": {"WooPayments": "No", "Direct bank transfer": "Yes", "Check payments": "Yes", "Cash on delivery": "No", "PayPal Standard": "Yes", "Advanced cash on delivery with fee": "Yes", "Advanced extra fees and reductions": "No"}}]
http://domain@@@user@@@password | 5 | 5 | [{"GEO": "India - Uttar Pradesh"}, {"LAST": "August 21, 2023 7:50 am"}, {"CURRENCY": "United States (US) dollar ($)"}, {"PAYMENTS": {"Direct bank transfer": "No", "Check payments": "No", "Cash on delivery": "No", "PayPal Subscription": "Yes", "Stripe Subscriptions": "Yes"}}]http://domain@@@user@@@password | 4 | 0 | [{"GEO": "Slovenija"}, {"LAST": "3. februarja, 2024 16:10"}, {"CURRENCY": "Euro (\u20ac)"}, {"PAYMENTS": {"WooPayments": "Ne", "Neposredna ban\u010dna transakcija": "Da", "Pla\u010dilo s \u010deki": "Ne", "Pla\u010dilo po povzetju": "Ne"}}]
http://domain@@@user@@@password | 152 | 127 | [{"GEO": null}, {"LAST": "February 29, 2024 9:44 am"}, {"CURRENCY": null}, {"PAYMENTS": null}
http://domain@@@user@@@password | 5 | 4 | [{"GEO": null}, {"LAST": "6 de septiembre de 2021 21:18"}, {"CURRENCY": "D\u00f3lar de los Estados Unidos (US) ($)"}, {"PAYMENTS": {"Transferencia bancaria directa": "S\u00ed", "Pagos por cheque": "No", "Contra reembolso": "S\u00ed", "PayPal est\u00e1ndar": "S\u00ed", "Square": "S\u00ed"}}]
http://domain@@@user@@@password | 8 | 1 | [{"GEO": "United Kingdom (UK)"}, {"LAST": "March 3, 2024 4:00 am"}, {"CURRENCY": "Pound sterling (\u00a3)"}, {"PAYMENTS": {"WooPayments": "No", "Direct bank transfer": "Yes", "Check payments": "No", "Cash on delivery": "Yes", "MarketKing Stripe Connect (Split Pay)": "No"}}]
http://domain@@@user@@@password | 2 | 0 | [{"GEO": "United States (US) - California"}, {"LAST": "September 15, 2021 4:02 am"}, {"CURRENCY": "United States (US) dollar ($)"}, {"PAYMENTS": {"WooPayments": "No", "Direct bank transfer": "No", "Check payments": "No", "Cash on delivery": "Yes", "PayPal Subscription": "No", "Stripe Subscriptions": "No"}}]
http://domain@@@user@@@password | 93 | 91 | [{"GEO": "United States (US) - Arkansas"}, {"LAST": "November 23, 2023 11:33 am"}, {"CURRENCY": "United States (US) dollar ($)"}, {"PAYMENTS": {"Direct bank transfer": "Yes", "Check payments": "Yes", "Cash on delivery": "Yes"}}]
http://domain@@@user@@@password | 2 | 0 | [{"GEO": "India - Uttar Pradesh"}, {"LAST": "September 15, 2021 3:58 am"}, {"CURRENCY": "Indian rupee (\u20b9)"}, {"PAYMENTS": {"Direct bank transfer": "No", "Check payments": "No", "Cash on delivery": "Yes", "PayPal Subscription": "No", "Stripe Subscriptions": "No"}}]

Можем переделать или добавить еще какую-то инфу.

Взялись за инжект JS файлов.
 
You must log in or register to reply here.
Top