Собачка делает waf (bypass Qrator)

В чат прилетел вопрос про "сложную" вафку. Штош, ну мы это еще посмотрим...

Улетает шифро дата, прилетает кука.

Чутка повангуем.

Ставим брек на btoa, тк очевидно что шифро дату удобнее слать так.

Хотя можно было бы и вот так забрекать отправку запроса, но тут мы попадаем в момент перед отправкой, эт пригодится трохи позже.

И так, после брека btoa имеем скрипт. Теперь над собрать по частям чего оно тут хуевертит.

Чуток потыкав, становится все очевидно.

Чекнем че такое ne тк эт и есть шифрование данных, после которого идет btoa

Довольно быстро, но и не без подсказки со стороны чела из чата, код шифрования был готов:

Подсказкой оказалось, что генерация pow (он же x, он же getD), находился на пару строк выше..

А сама вот эта хуеверть по итогу превращается в простенький цикл

И какбэ жить здорово, да, только вот оно шифрует фингер в процессе работы. А мне он нужен в сыром виде, для допила. Поэтому..

Типо вот у нас функции, каждая из них перебирается и вызывается в цикле, получая и сразу шифруя ответ. И чё?

При этом сохраняя время создания

И вот я сел пилить снятие фингера. Только вот форматирование документа приводило сразу к крашу

Тоесть вкладка с этой поеботой сразу умирала, тк впадала в бесконечный цикл. Защита блять ебучая.

Тогда я накинул манкипатч, закастомил, но вышла страшная хуета, от которой я решил отказаться.

По итогу, тот же чел из чата поделился интересным наблюдением. Скрипт умирал вот от этого кода. Получается, вся их защита строилась просто на проверке переносов