成功的渗透往往只需要朴实无华的手段

文章尽量脱敏了哈，如果有大佬看出来是哪个项目了可千万别干坏事，出问题了你自己全责

囊中羞涩

昨天在为要开发的东西寻找合适的第三方库，找来找去，只有一个收费的，而且还死贵（真的贵的离谱）。

差不多就是这么贵。然后我就走上了寻找源码的不归途。

寻找出路

查看官网的时候发现了安装方式

$ pip install xxx-pro

这说明包被上传到 pypi 了，我们可以直接去 pypi.org 去找，说不定可以找到仓库或者作者的 Github。

果然是有的，继续点进去之后可以找到邮箱和用户名

进到他的 Github 主页后，并不能看到收费版的仓库，只有免费版的仓库。

绝地反击

它的仓库很多，我就直接在 Github 里的 Code 那块儿搜了 password ，结果还真就搜出来东西了。这个并不是配置文件，而是仓库作者设置的 Github action 里的一个 workflow。里面配置的账号密码即是他常用的账号密码。然后返回到 pypi，直接用他的账号密码登录。

还有他的 Github，如果不是要验证邮箱，早就登录进去了。

后续

本来是想把 pypi 上免费版和收费版的包都替换成恶意包以此来钓鱼来着，但是用这个包的用户好像还挺多的。担心替换了之后一堆🐔上线了👮叔叔过来 gank 我，而且我的目的也只是玩儿一下，我需要的源码早到手了，等 HW 了再继续玩吧。

说到源码，收费版的东西加密我是可以理解的，但是这个加密方式属实让我没绷住。怎么说呢，这种所谓的“代码加密”，能骗到别人就行，就怕把自己都给骗了。不过挺好的，没有这样的人，早晚得失业。就这样吧，过完年看看能不能拿下  Github。

如果不想错过新的内容推送，可以设为星标哦