Ah, por cierto, he hecho algunas pruebas que han dado resultados muy interesantes montando un "servidor" de whatsapp generando yo el base64 para esperar la respuesta y ver en función de qué varía el response.

Comentame un poco donde te has quedado y vemos de poner en común si te parece.

Buenas,

Llevo unos días con esto y veo que hace más de un par de meses que lo intentaste tú; ¿Descubriste algo más?

Dejando de lado el misterio de la password: ¿por que crees que la función del ejemplo del wargame es correcta? Yo he mirado en la wikipedia y para hacer el MD5 digest nos hace otra cosa muy diferente y, he econtrado otros post que trabajan sobre la misma prueba de el mismo wargame y también nos hacen otras cosas diferentes para generar el MD5 correcto del response.

http://en.wikipedia.org/wiki/Digest_access_authentication

http://fulapol.wordpress.com/2011/07/23/write-up-wgsbd2-zeropwn/

¿Avanzaste algo más desde entonces? Me estoy volviendo loco y será una pena tener que rendirse con esto.

Por cierto, también he valorado que "password" pueda ser el código de activación con el que el whatsapp te hace autentificar tu número, esto tendría sentido también en el aspecto de no permitir que todos entraran en tu buzón y suplantaran tu "telefono" no obstante es un código de 3 cifras así que si de eso se trata como mucho en 999 intentos lo tendríamos de todos...