Share [Painel UCP] Sistema Completo e Moderno para L2J

[Julio Prado]

Olá comunidade,

Apresento a vocês meu Painel UCP (User Control Panel) total funcional e integrado ao servidor L2J, oferecendo uma experiência moderna, segura e extrema prática para jogadores e administradores.

---

Funcionalidades para Jogadores​

• 
  Sistema de Doações Integradocom: com: com:
  • 
    [Stripe]
  • 
    [MercadoPago (Pix)]
• 
  Ranking automático com os melhores PvP e PK fazedor servidor.
• 
  Troca senhora com validação segura.
• 
  Serviçospara os jogadores, usando saldo:
  • Nome do personagem
  • Outras funções personalizadas
• 
  Loja Itens:
  • Compra de itens direito pelo painel
  • Entrega automática no inventário no jogo
  • Atualização de saldo em segundos
• 
  Interface multilíngue: Portugueses
  
  e Inglês
  

---

Funcionalidades para Administradores​

• 
  Gestão completa da Loja:
  • Adicionar/editar/remover itens
  • Visualização com ícones dinâmicos
• 
  Gerenciamento Saldos:
  • Editar saldo das contas
  • Verificar histórico de doações provadas e pendentes
• 
  Gestão de Contas Admin:
  • Acesso diferenciado por nível (Admin ou GM)
  • Controle seguro permissões
• 
  Painel de controle com informações em tempo real

---

Imagens de Apresentação​

​

​

---

Imagens de Apresentação Painel Admin
​

---

Antes de iniciar, certifique-se de ter:​

• PHP 7.4 ou superior
• Servidor web (Apache/Nginx)
• MySQL/MariaDB
• Acesso ao banco de dados do seu servidor L2
• Permissões de escrita na massa do painel

---

Faça upload dos arquivos do painel em seu host ou localhost (ex: www/painel/).​

---

Acesse o caminho instalado o painel via navegador:​

http://seudominio.com/ucp

Você verá a tela de Configuração Inicial do Banco de Dados, conforme a imagem abaixo:

​

---

Baixar Projeto
Se você gostou do meu trabalho deixa seu comentário e sua curtida!
Se este painel e útil para você em uma das versão do Lucera me avise.

​

 

[canassa]

This sharing is incredible, thank you <3

 

[canassa]

I have PayPal and it works. What do you think about implementing it in this ucp?

 

[Julio Prado]

I have PayPal and it works. What do you think about implementing it in this ucp?

quando o tópico chegar a 250 curtidas eu lanço uma versão v2 com paypal

 

[fa1thDEV]

If anyone distrusts this ucp, I have already checked with several antivirus and it does not contain backdoors, I have investigated each file, if there is any leak / backdoor, and I have not found anything, so for now it is a 99% safe share.

And security_report.pdf for look a general information about all UCP.

Antivirus do not detect gates only if there are anti-malware infections or trojans, what you are looking for are gates.


(/stripe-php-6.43.1/update_certs.php
exec("openssl x509 -in $pem_file -noout -dates");

potentially risky if $pem_file is not validated. This command launches OpenSSL from PHP, so if someone messes around and passes a malicious path, there may be an entry).

/ucp/stripe-php-6.43.1/lib/HttpClient/CurlClient.php
exec($cmd, $output, $exitCode);

there is a serious risk here! the $cmd variable is dynamically constructed with system commands. If any part of the code lets the user modify that variable, it can be used to execute arbitrary commands (command injection).

check CurlClient.php to see where $cmd → it could be a serious attack vector.

consider replacing exec() with safe PHP alternatives, such as native libraries or functions with powershell access.

 

[nelroot]

te recomiendo no dejes puertas traseras, los usuario lo notaran, también te recomiendo cambiar ese exe() y cambia esas bibliotecas nativas sin acceso a shell.
suerte con el process_donate.php

(/stripe-php-6.43.1/update_certs.phpexec("openssl x509 -in $pem_file -noout -dates");potencialmente riesgoso si $pem_file no se valida. Este comando lanza OpenSSL desde PHP, así que si alguien mete mano y pasa un path malicioso, puede haber una entrada.)
/ucp/stripe-php-6.43.1/lib/HttpClient/CurlClient.phpexec($cmd, $output, $exitCode);acá hay riesgo serio! la variable $cmd es construida dinámicamente con comandos del sistema.
Si cualquier parte del código deja que el usuario modifique esa variable, puede usarse para ejecutar comandos arbitrarios (inyección de comandos).revisar CurlClient.php para ver de dónde viene $cmd → podría ser un vector de ataque serio.considerar reemplazar exec() por alternativas seguras de PHP, como bibliotecas nativas o funciones con acceso a powershell.

 

[Julio Prado]

te recomiendo no dejes puertas traseras, los usuario lo notaran, también te recomiendo cambiar ese exe() y cambia esas bibliotecas nativas sin acceso a shell.
suerte con el process_donate.php

(/stripe-php-6.43.1/update_certs.phpexec("openssl x509 -in $pem_file -noout -dates");potencialmente riesgoso si $pem_file no se valida. Este comando lanza OpenSSL desde PHP, así que si alguien mete mano y pasa un path malicioso, puede haber una entrada.)
/ucp/stripe-php-6.43.1/lib/HttpClient/CurlClient.phpexec($cmd, $output, $exitCode);acá hay riesgo serio! la variable $cmd es construida dinámicamente con comandos del sistema.
Si cualquier parte del código deja que el usuario modifique esa variable, puede usarse para ejecutar comandos arbitrarios (inyección de comandos).revisar CurlClient.php para ver de dónde viene $cmd → podría ser un vector de ataque serio.considerar reemplazar exec() por alternativas seguras de PHP, como bibliotecas nativas o funciones con acceso a powershell.

Agradeço o alerta, mas gostaria de esclarecer que meu painel UCP não possui backdoors e todas as rotas sensíveis — como process_donate.php — são validadas, sanitizadas e protegidas contra injeções.


Sobre o uso do exec() citado: os trechos mencionados fazem parte de bibliotecas oficiais como a stripe-php, amplamente utilizadas e mantidas pela própria Stripe. O uso do exec() nesses contextos é seguro desde que o caminho de arquivos como $pem_file não seja controlado pelo usuário, o que no meu caso não é. Todos os arquivos de certificados são definidos no servidor e não expostos à manipulação externa.


Também revisei o CurlClient.php, e no meu painel a construção do $cmd é totalmente controlada. Não há qualquer entrada do usuário envolvida no processo.


Meu painel está em produção e passa por revisões constantes. A segurança é prioridade aqui, mas também não há espaço para alarmismo sem contexto.