搞笑的80sec阅读者，搞笑的PHPWind Exploit(转)

本文链接： [url]http://hi.baidu.com/biweilun/blog/item/21c0cf1781585b0fc93d6dd7.html[/url]

国内的python风气很不好啊~~

今天编程编到手软，在网上瞎逛悠，无意中看到80sec放出的一个什么 PHPWind <=5.3的wap模块存在漏洞，可以随意修改用户名密码的Exploit。本来这篇文章不太想写， 但是实在是忍不住要跳出来，作为一个python的入门者。

[url]http://www.80sec.com/phpwind-admin-pass-change-vul.html[/url]

据80sec的人分析出来的漏洞，wap_mod.php中的wap_login函数有问题，只不过对$men_pwd这个变量进行了长度检测，等于16就截取$password变量的8位字符，然后后面是过滤不严造成了准cookie注入漏洞。

他们下面很拽的给出了一份py的 Exploit，现在人家喜欢耍帅，开始用py写Exploit了，很不错的。前两天去我爱python的论坛还发现人气凋零，不禁要慨叹国内的python形势。发现网上很多人转载80Sec的这篇文章，我想问一声， 转载的朋友们，你们真的看懂了吗？！！

我想说， 80sec的文章不是圣经~

感到很搞笑，他们给出的Exploit利用代码(py版)错误百出，可大家都是看都不看，一看到这么多代码头都晕了，然后就马上转载转载再转载，然后这篇“ Exploit”就在网上流传开来了，被大家捧为圣经，互相“传诵”~~   转载的朋友，你们真的试过这个代码的可用性了吗？！悲哀~~~

我在这里并不是讽刺80sec，毕竟是国内出名的安全团队。他们的Exploit代码是故意写错的，就像世界著名的milw0rm一样，他们提供的C++ Exploit代码直接下载下来都是不能直接编译的，作者都会故意写错一些，防止被人家恶意破坏，真正的程序员就能看懂代码，修改出错误的地方。

我想发发牢骚的是针对目前网上流行的这种转载风气， 仅此而已

 

作者写的不错! 太有才了!

 

------------------------

对于网络上这种风气....哎.