Buenas,
Llevo unos días con esto y veo que hace más de un par de meses que lo intentaste tú; ¿Descubriste algo más?
Dejando de lado el misterio de la password: ¿por que crees que la función del ejemplo del wargame es correcta? Yo he mirado en la wikipedia y para hacer el MD5 digest nos hace otra cosa muy diferente y, he econtrado otros post que trabajan sobre la misma prueba de el mismo wargame y también nos hacen otras cosas diferentes para generar el MD5 correcto del response.
http://en.wikipedia.org/wiki/Digest_access_authenticationhttp://fulapol.wordpress.com/2011/07/23/write-up-wgsbd2-zeropwn/¿Avanzaste algo más desde entonces? Me estoy volviendo loco y será una pena tener que rendirse con esto.
Por cierto, también he valorado que "password" pueda ser el código de activación con el que el whatsapp te hace autentificar tu número, esto tendría sentido también en el aspecto de no permitir que todos entraran en tu buzón y suplantaran tu "telefono" no obstante es un código de 3 cifras así que si de eso se trata como mucho en 999 intentos lo tendríamos de todos...