PlanB - софт для работы с PHP шеллами/бэкдорами LinksFarm - ссылочная ферма на ваших доступах

WPU

Многофункциональный софт для работы с аккаунтами Wordpress (чекер, загрузчик, постер, инжект PHP/JS кода)

Цена Контакты Тема на exploit.in Тема на xss.is Телеграмм-канал Телеграмм-канал с логами обновлений

Описание

WPU — это многофункциональный софт для работы с админками WordPress. Возможности:

Загрузка PHP файлов в админки 4-мя способами. Это могут быть разнообразные шеллы (mbd_v3, cmd_hex, fputs, различные файлменеджеры, для получения доступа к файловой системе хоста)
Чекер прав доступов: делит пользователей на категории — админ, автор, редактор, участник, подписчик.
Постер: позволяет делать неограниченное количество постов на доступах (подходит для создания дорвеев, слива трафика, наращивания ссылочной массы)
Установка и активация ваших плагинов на доступах! (очень большой спектр использования данного функционала. От слива трафика, загрузки зараженного плагина, загрузка скрытого плагина, изменения настроек хоста и т.д. (насколько хватит фантазии) до интеграции с ссылочной фермой)
Чекер наличия шопа WooCommerce на сайте и сбор данных об ордерах.
Инжект JavaScript и PHP кода в файлы тем и плагинов (подходит для слива трафика, размещения клоак, размещения фейковых каптч, фишинг, hijacking и др.)
Инструкция под Linux (Debian), опционально имеется возможность настроить работу через TOR домен.
Написан на Python (gevent + requests) и PHP (Laravel). Весь проект open source.
English version available (including README and manual).

Основные фичи WPU

Распознавание и решение капч: hCaptcha, reCAPTCHA v2, reCAPTCHA v3, а также 3 самые популярные математические капчи.
Обход WAF: от Cloudflare, Imunify360, Wordfence, Astra, All-in-one Wordpress и др.
Глубокие настройки: на повторные попытки загрузки, проверок, смены прокси, лимиты и другие настройки (можно как быстро проходить большие базы с низкими лимитами, так и медленно обрабатывать мелкие базы)
Текущие методы загрузки:
- PHP файл под видом zip плагина
- Плагин
- Тема
- Установка плагина типа filemanager (если не было), загрузка, удаление плагина (если не было)
Рандомные имена: Плагины, темы и файлы загружаются под случайными именами (сгенерировано из топ 1000 названий). Если тема или плагин с текущим названием уже существует — загрузится под новым.
Чекер прав доступов: Подробнее ниже
Инжект JS кода: в файлы активных тем и плагинов
Сохранение списков админок: Сохраняются списки успешных админок и тех, где больше не стоит пытаться (critical error, нет прав админа, сообщение о скомпрометированном пароле и т.д.). При повторных загрузках такие пропускаются.
Подробное логирование: Логирование по каждому сайту с возможностью сохранения всех HTTP ответов (тела и заголовков) по желанию.
Realtime обновление статы: Отображение скорости работы, успешных результатов и других метрик в реальном времени, а также удобная админка.
Поддержка больших баз: Без ограничений на объём данных.
Отключение плагинов безопасности: Автоматическое отключение списка из 40+ популярных плагинов безопасности (также можно указать свои плагины).
Обновления по кнопке: В админке можно обновить систему нажатием одной кнопки.
Прокси-сокс чекер: Чекер прокси-серверов по крону, парсер публичных сервисов (собирает 300-600 штук). Прокси обновляются в процессе работы.
Мануал и инструкции: Подробные инструкции по использованию и установке доступны в админке.

Фичи инжекта JS

Для проверки успешности загрузки нужно указывать строку для проверки.
Инжект только в проверенные базы с правами админа (используется встроенный чекер).
WPU автоматически выполнит инжект в новые аккаунты с правами админа, если включить эту опцию. Настроив инжект 1 раз, можно просто подкидывать новые базы.
Автономный чекер вашего JS кода работает по крону, с гибкими настройками.
Автономный перезаливщик JS кода, если его удалили.
Код, не найденный через чекер, будет удалён не сразу, а через указанный промежуток времени (если сайт временно не отвечает или в случае сетевых ошибок).
Автоочистка плохих результатов через указанный промежуток времени.
Возможность создания задачи на удаление ранее загруженного JS кода.
Инжект JS кода в посты с использованием XMLRPC! Для инжекта в посты через XMLRPC не обязательны админ-права (можно инжектить с правами редактора, автора).

Фичи инжекта PHP

Инжект кода позволяет ему работать на всём сайте.
Для проверки успешности загрузки используется запрос с cookie.
Инжект только в проверенные базы с правами админа (используется встроенный чекер).
WPU автоматически выполнит инжект в новые аккаунты с правами админа, если включить эту опцию.
Автономный чекер вашего PHP кода работает по крону, с гибкими настройками.
Автономный перезаливщик PHP кода в случае его удаления.
Код, не найденный через чекер, будет удалён не сразу, а через указанный промежуток времени.
Автоочистка плохих результатов через указанный промежуток времени.
Возможность создания задачи на удаление ранее загруженного PHP кода.

Фичи чекера доступов

Определяет права аккаунтов и сохраняет по спискам: админ, автор, редактор, участник, подписчик
Сохраняет по спискам также результаты, где: удалось залогиниться, не удалось залогиниться, сайт сломан (critical error), не подходит пароль
Собирает информацию, если на сайте есть магазин WooCommerce и информацию с шопа (количество ордеров всего, за месяц, гео и т.д.).

Гибкие настройки

Основные
Загрузчик
Чекер
Инжект JS
Инжект PHP
Настройки HTTP
Настройки Proxy

Отзывы клиентов с exploit и xss (все обновления там же)

Цена

WPU

2000$ /год

Цена за год обновлений
Открытый код, с комментариями
Добавим любые ваши фичи и пожелания (в порядке очереди). Бесплатно, если это будет полезно кому-то еще или улучшит пробив.
Любые консультации по сливу траффа (готовые шаблоны для JS/PHP инжекта и синхронизации с кейтаро) и монетизации

Контакты

6289180988455FEAD792EEC0CB31FE1421136D98A718BF6A74B9E9EA4E98B461F14EC0E0A3A5

3B3D2F9D1C84B57C6F00619F5FEA073F9A7F6B36F995DF446E257DE26A28BC6BF185413649BD