Можно ли открыть дверь в спецпроекте от Skoltech?

Очень любопытство замучило, что решил зарегаться ради этого. Увидел на vc баннер с текстом что-то вроде "докажи, что ты робот". Ведет сюда

надо ввести код из 3 цифр. Потерев стену, или заглянув в отладчик, получаешь задачу

Герой очень обрадовался победе своего соотечественника на «Оскаре-2018», начавшего речь словами: «Я — иммигрант». В честь этого на следующий же день он решил приготовить национальную закуску. Герой поехал в соседний город, который называли «городом моторов». Там продавали главный ингредиент нужного качества — с идентификационным номером 4046. Он скупил 0,73% от всего, что было продано на той неделе. Сколько он потратил?

Как-то решать это все желания нет. Полезем в хедеры. Там есть фраза x-this-is-csrf: THIS IS SPARTA! Пробуем 300. Мимо. 000 тоже не подходит. Жму "сдаюсь", - получаю текстбокс со скучной рекламной водой. Обидно, надежда, что раскроют суть, разбилась.

Ок, пытаемся решить. Факты, что национальность - мексиканец, город моторов - Детройт, главный ингридиент - авокадо, Оскар был вручен 5-го марта 2018, найти легко. Что с этим делать? Гуглеж приводит на неправильный путь к игре Detroit: Become Human. Ее продажи ненагугляемы.

Дальнейший гуглеж приводит к этому юпитер ноутбуку

А гуглеж avokado.xslx и к исходнику

Но вот тут подстава:

Можно ли открыть дверь в спецпроекте от Skoltech?

Понятно, что речь идет о plu4046, дате (неделе) 2018-03-04. Но как не крути в различных комбинациях объемы с умножением на цену и без, только 4046 и все, ничего не выходит. Удается подобрать до 10 трехциферных комбинаций, и ни одна не подходит.

Ладно, уже потеряно много времени. Жалко терять его дальше. Поэтому расчехляю PyCharm, и после ряда итераций пишу

import requests i = 1000 while 1: url = 'https://vc.ru/special/robot/open' myobj = '''------WebKitFormBoundaryeAULZCD9NSdYXgCv Content-Disposition: form-data; name="code" 300 ------WebKitFormBoundaryeAULZCD9NSdYXgCv--''' ii = ('0000'+str(i))[-3:] d = myobj.replace('300', ii) x = requests.post(url, data=d, headers={ 'x-this-is-csrf': 'THIS IS SPARTA!' }) print(ii) print(x.text) if "403" in x.text: i = i - 1

Итерированием с 999 до 0 пытался избежать ответа, который иногда появлялся на время (не помогло).

{"rc":418,"rm":"Попробуйте решить задачи","data":[]}

А использованием

headers={'x-this-is-csrf': 'THIS IS SPARTA!'})

добился хоть какого-то ответа.

Невзирая на то, что иногда еще вылезало

<html> <head><title>429 Too Many Requests</title></head> <body> <center><h1>429 Too Many Requests</h1></center> <hr><center>openresty</center> </body> </html>

скрипт таки прощупал весь диапазон с 0 до 999, пережидая 429 и 418 коды. И, увы, ничего.
Конечно, можно, предположить, что робот не ограничен 3 цифрами, и поэтому надо было итерировать хотябы до 99999999. Или, что робот не ограничен точностью, поэтому надо было итерировать с шагом в 0.0000001, и отправлять с разделителем. Или, что надо как-то обыгрывать число 17 на двери, или вообще отправлять не цифры (поле ввода поддерживает ввод не цифр). Или что надо искать подсказки в ссылке How-many-streets-of-Veldhoven-consumed-more-than-6280-kWh-in-2013. Но, как-то не верится, что авторы спецпроекта совсем уж повели себя, как Жорик.

Так что, прошу помочь. Уж очень любопытство достало.

44
81 комментарий

Комментарий недоступен

1
Ответить

Во у людей свободного времени...

1
Ответить

С чего бы это?) В мире, где процветают порнхаб и 1хБет, Вас удивляет происходящее на этой странице?

Ответить

Комментарий недоступен

1
Ответить

Логично, скрипт же и показал, что в диапазоне 000-999 ответа нет... 

Ответить

Я понял что цены указаны с упаковкой, которая тоже есть в датасете. Возможно не прав, но convebtional и orgnaic это и есть упаковка, в которой продается авокадо. Вот бы пощупать дата сет с https://hassavocadoboard.com/category-data/?region=Detroit&y=2018 но регистрироваться категорически лень. Еще не понимаю количество штук авокадо с десятичными долями.
Плюс усредненная цена это цена по всем размера авокадо, не только 4046, но и 4225 и 4770

Ответить

Получил все ответы из датасетов, перебирал в разных комбинациях.  В итоге, получилось открыть дверь подменой ответа на 200 Access Granted при post запросе. 

1
Ответить