Magic Button
Проект от команды NetScan
WordPress Credential Checker & Code Injection Tool
Что такое WP Magic Button?
WP Magic Button — профессиональная платформа для проверки учётных данных WordPress и внедрения кода. Принимает списки логинов (домен + пользователь + пароль), в параллельном режиме проверяет их на реальных сайтах, и для успешных логинов автоматически внедряет ваш PHP/JS-скрипт через все доступные методы.
Ключевые возможности
4 метода иньекции (в порядке приоритета)
После успешного входа система пробует методы по порядку и останавливается при первом успехе:
Методы 3 и 4 пробуются только если 1 и 2 не сработали. Это предотвращает двойную иньекцию.
Категории результатов
Функция «Клонировать пропущенные» — если часть Good-учётных данных не была инъецирована, создаёт новую кампанию только с неинъецированными учётными данными для повторной попытки.
Поддерживаемые форматы учётных данных
Парсер автоматически определяет символ-разделитель. Поддерживаются все 7 форматов:
Всё после второго разделителя — это пароль, даже если он содержит символы-разделители.
Настройки кампании
Жизненный цикл: ожидание → запущено → пауза/остановлено → готово
Добавление хостов
Прокси
Аккаунт и оплата
Все платежи в USDT TRC-20 (сеть Tron).
Быстрый старт
wpmagic.net
Проект от команды NetScan
WordPress Credential Checker & Code Injection Tool
Что такое WP Magic Button?
WP Magic Button — профессиональная платформа для проверки учётных данных WordPress и внедрения кода. Принимает списки логинов (домен + пользователь + пароль), в параллельном режиме проверяет их на реальных сайтах, и для успешных логинов автоматически внедряет ваш PHP/JS-скрипт через все доступные методы.
Ключевые возможности
- Проверка учётных данных — параллельная проверка WordPress-логинов в нескольких потоках
- Внедрение кода — запись скрипта через Редактор тем, Файловый менеджер, Редактор плагинов или Загрузку плагина
- Система кампаний — организация проверок в именованные кампании с сохранёнными результатами и возможностью возобновления
- Поддержка прокси — списки прокси для ротации IP-адресов при проверке
4 метода иньекции (в порядке приоритета)
После успешного входа система пробует методы по порядку и останавливается при первом успехе:
- 1. Редактор тем (TE_INJECTED) — открывает theme-editor.php, находит functions.php активной темы и дописывает скрипт
- 2. Файловый менеджер (FM_INJECTED) — активирует плагин файлового менеджера и пишет скрипт напрямую в файловую систему
- 3. Редактор плагинов (PE_INJECTED) — открывает plugin-editor.php и инъецирует в основной PHP-файл плагина
- 4. Загрузка плагина (PU_INJECTED) — загружает ZIP через plugin-install.php и активирует. Требует загрузки ZIP в настройках
Методы 3 и 4 пробуются только если 1 и 2 не сработали. Это предотвращает двойную иньекцию.
Категории результатов
- Good (Хорошие) — вход успешен, учётные данные действительны, панель WordPress доступна
- Injected (Внедрено) — вход успешен и скрипт записан на сайт через один из 4 методов
- NoPlugin (Без плагина) — вход успешен, но ни один метод иньекции не сработал из-за блокировки редакторов
- Bad (Плохие) — вход не удался: неверные учётные данные, сайт недоступен или таймаут
Функция «Клонировать пропущенные» — если часть Good-учётных данных не была инъецирована, создаёт новую кампанию только с неинъецированными учётными данными для повторной попытки.
Поддерживаемые форматы учётных данных
Парсер автоматически определяет символ-разделитель. Поддерживаются все 7 форматов:
Code:
site.com/wp-login.php:user:password
site.com/wp-login.php:user;password
site.com/wp-login.php;user;password
site.com/wp-login.php#user#password
site.com/wp-login.php@user@password
site.com/wp-login.php|user|password
site.com/wp-login.php#user@password
// Со схемой:
https://site.com/wp-login.php|user|password
// С портом (двоеточие в порте НЕ является разделителем):
site.com:8080/wp-login.php|user|password
// Установка в подкаталоге:
site.com/blog/wp-login.php|user|password
// Пароли с символами-разделителями сохраняются:
site.com|admin|p@ss:w0rd!Всё после второго разделителя — это пароль, даже если он содержит символы-разделители.
Настройки кампании
- Название — метка для кампании
- Потоки — параллельные рабочие процессы (рекомендуется 5–20)
- Таймаут — таймаут на один запрос в секундах (рекомендуется 30–60)
- Прокси лист — ротация через сохранённый список прокси
- Загрузка плагина — включить метод загрузки плагина (если есть ZIP)
- Скрипт иньекции — PHP/JS код для выполнения после успешной иньекции
Жизненный цикл: ожидание → запущено → пауза/остановлено → готово
Добавление хостов
- Встроенный список — вставьте учётные данные в поле при создании кампании
- Загрузка файла — вкладка Хосты → Добавить хосты → Выбрать файл. Поддерживаются файлы любого размера (потоковая обработка, без буферизации в RAM)
Прокси
- Перейдите в Прокси → Новый лист
- Откройте лист → Добавить прокси
- Вставьте по одному URL на строку: http://user
ass@hostort или socks5://hostort - В настройках кампании выберите нужный список. Прокси используются по очереди
Аккаунт и оплата
Все платежи в USDT TRC-20 (сеть Tron).
- Введите сумму и нажмите Запросить депозит
- Вам будет назначен уникальный адрес TRON
- Отправьте точно указанную сумму в течение 20 минут
- Система проверяет блокчейн каждые 30 секунд. Баланс пополняется автоматически
Быстрый старт
- Войдите в систему на /login
- Пополните баланс USDT и купите доступ (День / Неделя / Месяц)
- Создайте список прокси и добавьте прокси
- Создайте кампанию: название, потоки, таймаут, прокси
- Загрузите хосты с учётными данными
- Настройте иньекцию (PHP-скрипт) и/или загрузите ZIP-плагин
- Нажмите Старт
- Наблюдайте за результатами в реальном времени
- Скачайте результаты или используйте «Клонировать пропущенные»