CryptoJS.AES.decrypt как расшифровать

[QweRR]

Ребят, колупаю один файл с гита, плиз посмотрите на код, я че-то в глаза долблюсь, ковыряюсь и никак не доходит, как хеш декрипнуть можно. Это ж по идее Cipher Algorithm типа
var decrypted = CryptoJS.AES.decrypt(encrypted, "Secret Passphrase");
Только где он ключ берет?

let vbd="U2FsdGVkX18JqJygW/0GkMHp1HVOszVBvgCz/zTMUC+Jb5jHCkd1BoOyx0sR4fdRKzHSNd3fHG1ASkV6zWf7rA==",
    cvk="U2FsdGVkX1/SdCsAOo0FZoBnjNAGGS7mwUYTeGlEM6drHWeu71muu6YQIVz+R4nrkJjXPtxDeSc1JKbFE51ynA==";
    function vmn(o)
    {
    const t = CryptoJS.AES.decrypt(o,location.href);
    return t.toString(CryptoJS.enc.Utf8)
    }
    function ast()
    {
        vbd=vmn(vbd),cvk=vmn(cvk)
    }
    ast();

Сайт под клаудфлаером, может он через этот скрипт обращается?

<script src="https://cdnjs.cloudflare.com/ajax/libs/crypto-js/3.1.2/rollups/aes.js" integrity="sha256-/H4YS+7aYb9kI7NKhFYPUjSJdrtV6AeyJOtTrw6X72o=" crossorigin="anonymous"></script>

Ткните плиз в какую сторону копать.

 

[smuggling]

location.href ключ, не знаешь домена, не расшифруешь =)

 

[QweRR]

location.href ключ, не знаешь домена, не расшифруешь =)

Спс! Т.е. скрипт тупо для декрипта берет имя домена, на котором он стоит? Буду тестить

 

[ppdonchiq]

Это скрипт по сути для того, чтоб осложнить работу клиента без JS. Такая немного наивная защита от дудиса. До сих пор встречается в торе.

 

[SamGold]

Спс! Т.е. скрипт тупо для декрипта берет имя домена, на котором он стоит? Буду тестить

Не имя, а полный урл. В консоли браузера вбей location.href, покажет значение