whatsapp web reveng

Dieses Projekt beabsichtigt, eine vollständige Beschreibung und Neuimplementierung der WhatsApp-Web-API bereitzustellen, die schließlich zu einem benutzerdefinierten Client führt. WhatsApp Web funktioniert intern mit Websockets. Dieses Projekt tut auch.

Die Datei shell.nix definiert keine Umgebung mit allen Abhängigkeiten, die für die Ausführung dieses Projekts enthalten sind, nicht installieren oder verwalten.

Es gibt eine .envrc -Datei im cd , der beim Projekt automatisch aufgerufen wird. Wenn das Programm direnv zusammen mit nix installiert ist, sollten Sie eine solche Ausgabe erhalten:

 > cd ~ /dev/whatsapp
Installing node modules
npm WARN prepare removing existing node_modules/ before installation

> [email protected] install /home/rainy/dev/whatsapp/node_modules/fsevents
> node-gyp rebuild

make: Entering directory ' /home/rainy/dev/whatsapp/node_modules/fsevents/build '
  SOLINK_MODULE(target) Release/obj.target/.node
  COPY Release/.node
make: Leaving directory ' /home/rainy/dev/whatsapp/node_modules/fsevents/build '

> [email protected] postinstall /home/rainy/dev/whatsapp/node_modules/nodemon
> node bin/postinstall || exit 0

added 310 packages in 3.763s
Done.

$$       $$  $$                   $$ 
$$ | $   $$ | $$ |                 $$ |
$$ | $$ $  $$ | $$$$$$ $    $$$$$$  $$$$$$     $$$$$$ $   $$$$$$    $$$$$$    $$$$$$ 
$$ $$ $$ $ $ | $$  __ $$   _ ___ $$ \ _ $$  _ |  $$  _____ | _ ___ $$  $$  __ $$  $$  __ $$ 
$$$$  _ $$$$ | $$ |  $$ | $$$$$$ $ | $$ |    $ $$$$ $    $$$$$$ $ | $$ /  $$ | $$ /  $$ |
$$ $  / $ $$ | $$ |  $$ | $$  __ $$ | $$ | $$   _ ___ $$  $$  __ $$ | $$ |  $$ | $$ |  $$ |
$$  /   $ $ | $$ |  $$ | $ $$$$$$ | $ $$ $  | $$$$$$ $  | $ $$$$$$ | $$$$$$ $  | $$$$$$ $  |
_ _/     _ _ | _ _ |  _ _ | _ ______ |  _ ___/ _ ______/  _ ______ | $$  ____/ $$  ____/
                                                              $$ |      $$ |
                                                              $$ |      $$ |
                                                              _ _ |      _ _ |
Node v13.13.0
Python 2.7.17

Try running server with: npm start

[nix-shell: ~ /dev/whatsapp]$ 

Wenn Sie direnv nicht verwenden oder nur manuell in die Build -Umgebung einsteigen möchten:

nix-shell

in der Projektwurzel

Bevor Sie die Anwendung ausführen können, stellen Sie sicher, dass die folgende Software installiert ist:

• Node.js (mindestens Version 8, wenn die async await die Syntax aufwächst)
• Python 2.7 mit den folgenden pip -Paketen installiert:
  • websocket-client und git+https://github.com/dpallot/simple-websocket-server.git für das Handeln als WebSocket-Server und als Client.
  • curve25519-donna und pycrypto für das Verschlüsselungsmaterial.
  • pyqrcode für die QR -Codegenerierung.
  • protobuf zum Lesen und Schreiben des binären Konversationsformats.
• Hinweis: Unter Windows curve25519-donna benötigt Microsoft Visual C ++ 9.0 und Sie müssen stdint.h in C:UsersYOUR USERNAMEAppDataLocalProgramsCommonMicrosoftVisual C++ for Python9.0VCinclude kopieren.

Führen Sie vor dem ersten Starten der Anwendung npm install -f aus, um alle Knoten- und pip install -r requirements.txt zu installieren. Txt für alle Python -Abhängigkeiten.

Um es endlich zu starten, führen Sie einfach npm start unter Linux -basiertem OS- und npm run win unter Windows aus. Mit der concurrently und nodemon Magie werden alle drei lokalen Komponenten nacheinander gestartet. Wenn Sie eine Datei bearbeiten, werden das geänderte Modul automatisch neu gestartet, um die Änderungen anzuwenden.

Eine aktuelle Ergänzung ist eine Version der Entschlüsselungsroutine, die in den Browser-JavaScript übersetzt wurde. Führen Sie node index_jsdemo.js aus (nur benötigt, weil Browser nicht zulassen, dass die HTTP-Header für WebSockets geändert werden) und dann client/login-via-js-demo.html als normale Datei in jedem Browser öffnen. Die Konsolenausgabe sollte nach dem Scannen des QR -Codes entschlüsselte Binärnachrichten angezeigt werden.

Adiwajshing hat Baileys erstellt, eine Knotenbibliothek, die die WhatsApp -Web -API implementiert.

Ndunks hat bei WAJS eine Typscript -Neuimplementierung durchgeführt.

P4KL0NC4T hat Kyros erstellt, ein Python -Paket, das die WhatsApp -Web -API implementiert.

Mit WhatsAppweb-Rs hat Wiomoc einen WhatsApp-Web-Client in Rost erstellt.

Reimen erstellte Go-WhatsApp, ein Go-Paket, das die WhatsApp-Web-API implementiert.

Vzaramel erstellt WhatsAppweb-clj, eine Clojure-Bibliothek, die die WhatsApp-Web-API implementiert.

Das Projekt ist auf folgende Weise organisiert. Beachten Sie die gebrauchten Ports und stellen Sie sicher, dass sie vor Beginn der Anwendung nicht an anderer Stelle verwendet werden.

WhatsApp -Web verschlüsselt die Daten mit mehreren verschiedenen Algorithmen. Dazu gehören AES 256 CBC, CURVE25519 als Diffie-Hellman-Schlüsselvereinbarungsschema, HKDF zur Generierung des erweiterten gemeinsam genutzten Geheimnisses und HMAC mit SHA256.

Das Starten der WhatsApp-Websitzung erfolgt, indem nur eine Verbindung zu einem seiner WebSocket-Server unter wss://w[1-8].web.whatsapp.com/ws w[1-8] w wss:// bedeutet, dass die WebSocket-Verbindung sicher ist; Stellen Sie außerdem sicher, dass bei der Erstellung der Verbindung der HTTP -Header Origin: https://web.whatsapp.com festgelegt wird, andernfalls wird die Verbindung abgelehnt.

Wenn Sie Nachrichten an ein WhatsApp -Websocket senden, müssen sie in einem bestimmten Format sein. Es ist ganz einfach und sieht aus wie messageTag,JSON , z. B. 1515590796,["data",123] . Beachten Sie, dass anscheinend das Nachrichten -Tag alles sein kann. Diese Anwendung verwendet hauptsächlich den aktuellen Zeitstempel als Tag, nur um ein bisschen einzigartig zu sein. WhatsApp selbst verwendet oft Nachrichten-Tags wie s1 , 1234.--0 oder ähnliches. Offensichtlich enthält das Nachrichten -Tag möglicherweise kein Komma. Zusätzlich sind JSON -Objekte sowohl möglich als auch für die Nutzlast.

Befolgen Sie die folgenden Schritte, um sich bei einem offenen WebSocket anzumelden:

1. Generieren Sie Ihre eigene clientId , die 16 Base64-kodierte Bytes (dh 25 Zeichen) sein muss. Diese Anwendung verwendet nur 16 zufällige Bytes, dh base64.b64encode(os.urandom(16)) in Python.
2. Entscheiden Sie sich für ein Tag für Ihre Nachricht, die mehr oder weniger willkürlich ist (siehe oben). Diese Anwendung verwendet dafür den aktuellen Zeitstempel (in Sekunden). Denken Sie an dieses Tag für später.
3. Die Nachricht, die Sie an das WebSocket senden, sieht folgendermaßen aus: messageTag,["admin","init",[0,3,2390],["Long browser description","ShortBrowserDesc"],"clientId",true] .
   • Offensichtlich müssen Sie messageTag und clientId durch die Werte ersetzen, die Sie zuvor ausgewählt haben
   • Der Teil [0,3,2390] gibt die aktuelle WhatsApp -Webversion an. Der letzte Wert ändert sich häufig. Es sollte allerdings ziemlich gut kompatibel sein.
   • "Long browser description" ist eine beliebige Zeichenfolge, die in der WhatsApp -App in der Liste der registrierten WhatsApp -Web -Clients nach dem Scannen des QR -Codes angezeigt wird.
   • "ShortBrowserDesc" wurde noch nirgendwo beobachtet, ist aber ebenfalls willkürlich.
4. Nach wenigen Augenblicken erhält Ihr WebSocket eine Nachricht im angegebenen Format mit dem in Schritt 2 gewählten Nachrichten -Tag. Das JSON -Objekt dieser Nachricht enthält die folgenden Attribute:
   • status : sollte 200 sein
   • ref : In der Anwendung wird dies als Server -ID behandelt. wichtig für die QR -Generation, siehe unten
   • ttl : IS 20000, vielleicht die Zeit nach dem QR -Code ungültig
   • update : Eine Boolesche Flagge
   • curr : Die aktuelle WhatsApp -Webversion, z. B. 0.2.7314
   • time : Der Zeitstempel des Servers reagierte mit Floating-Punkt-Millisekunden, z. B. 1515592039037.0

5. Generieren Sie Ihren eigenen privaten Schlüssel mit Curve25519, EG curve25519.Private() .
6. Holen Sie sich den öffentlichen Schlüssel von Ihrem privaten Schlüssel, z. B. privateKey.get_public() .
7. Rufen Sie die von dem QR -Code später codierte Zeichenfolge durch, indem Sie die folgenden Werte mit einem Komma verkürzen:
   • Die Server -ID, dh das ref -Attribut aus Schritt 4
   • Die Base64-kodierte Version Ihres öffentlichen Schlüssels, dh base64.b64encode(publicKey.serialize())
   • Ihre Client -ID
8. Verwandeln Sie diese Zeichenfolge in ein Bild (z. B. mit pyqrcode ) und scannen Sie sie mit der WhatsApp -App.

9. Sie können bis zu 5 neue Server -Refs anfordern, wenn vorherige ( ttl ) vorhanden sind.
10. Tun Sie es, indem Sie messageTag,["admin","Conn","reref"] senden.
11. Der Server reagiert mit JSON mit den folgenden Attributen:
    • status : Sollte 200 sein (andere: 304 - Vorherige Ref, 429 - neuer Schiedsrichter abgelehnt)
    • ref : New Ref
    • ttl : Ablaufzeit
12. Aktualisieren Sie Ihren QR -Code mit dem neuen Ref.

13. Unmittelbar nach dem Scannen des QR -Codes empfängt das WebSocket mehrere wichtige JSON -Nachrichten, die die Verschlüsselungsdetails erstellen. Diese verwenden das angegebene Nachrichtenformat und haben ein JSON -Array als Nutzlast. Ihr Nachrichten -Tag hat keine besondere Bedeutung. Der erste Eintrag des JSON -Arrays hat einen der folgenden Werte:
    • Conn : Array enthält JSON -Objekt als zweites Element mit Verbindungsinformationen, die die folgenden Attribute und vieles mehr enthalten:
      • battery : Der aktuelle Batterieanteil Ihres Telefons
      • browserToken : Wird verwendet, um sich ohne aktive WebSocket -Verbindung anzumelden (noch nicht implementiert)
      • clientToken : Wird verwendet, um geschlossene Sitzungen wieder aufzunehmen, auch als "Erinnere dich an mich" (noch nicht implementiert)
      • phone : Ein Objekt mit detaillierten Informationen zu os_version Telefon os_build_number device_model device_manufacturer
      • platform : Ihr Telefon -Betriebssystem, z. B. android
      • pushname : Der Name von Ihnen, den Sie WhatsApp angegeben haben
      • secret (erinnere dich daran!)
      • serverToken : Wird verwendet, um geschlossene Sitzungen wieder aufzunehmen, auch als "Erinnere dich an mich" (noch nicht implementiert)
      • wid : Ihre Telefonnummer im Chat -Identifikationsformat (siehe unten)
    • Stream : Array hat insgesamt vier Elemente, daher ist die gesamte Nutzlast wie ["Stream","update",false,"0.2.7314"]
    • Props : Array enthält ein JSON -Objekt als zweites Element mit mehreren Eigenschaften wie imageMaxKBytes (1024), maxParticipants (257), videoMaxEdge (960) und anderen

14. Sie sind jetzt bereit, die endgültigen Verschlüsselungsschlüssel zu generieren. Beginnen Sie zunächst das secret von Conn als Base64 und speichern Sie es als secret . Dieses dekodierte Geheimnis wird 144 Bytes lang sein.
15. Nehmen Sie die ersten 32 Bytes des dekodierten Geheimnisses und verwenden Sie es als öffentlichen Schlüssel. Generieren Sie zusammen mit Ihrem privaten Schlüssel einen gemeinsam genutzten Schlüssel heraus und nennen Sie ihn sharedSecret . In der Anwendung wird privateKey.get_shared_key(curve25519.Public(secret[:32]), lambda a:a) verwendet.
16. Erweitern Sie sharedSecret auf 80 Bytes mit HKDF. Nennen Sie diesen Wert sharedSecretExpanded .
17. Dieser Schritt ist optional und validiert die vom Server bereitgestellten Daten. Die Methode wird als HMAC -Validierung bezeichnet. Tun Sie es, indem Sie HmacSha256(sharedSecretExpanded[32:64], secret[:32] + secret[64:]) berechnen. Vergleichen Sie diesen Wert mit secret[32:64] . Wenn sie nicht gleich sind, lehnen Sie die Anmeldung ab.
18. Sie haben jetzt die verschlüsselten Schlüssel: sharedSecretExpanded[64:] + secret[64:] als keysEncrypted .
19. Die verschlüsselten Schlüssel müssen nun mit AES mit sharedSecretExpanded[:32] als Schlüssel entschlüsselt werden, dh speichern AESDecrypt(sharedSecretExpanded[:32], keysEncrypted) als keysDecrypted .
20. Die keysDecrypted -Variable ist 64 Bytes lang und enthält zwei Schlüssel, jeweils 32 Bytes. Der encKey wird zum Entschlüsseln von Binärnachrichten verwendet, die Sie vom WhatsApp -Webserver gesendet oder binäre Nachrichten, die Sie an den Server senden, verschlüsseln. Der macKey wird benötigt, um die an Sie gesendeten Nachrichten zu validieren:
    • encKey : keysDecrypted[:32]
    • macKey : keysDecrypted[32:64]

1. Überprüfen Sie nach dem Senden von init -Befehl, ob Sie serverToken und clientToken haben.
2. Wenn ja, senden Sie messageTag,["admin","login","clientToken","serverToken","clientId","takeover"]
3. Der Server sollte mit {"status": 200} antworten. Andere Status:
   • 401: vom Telefon ungepaarte
   • 403: Zugriff verweigert, überprüfen Sie tos -Feld im JSON: Wenn es gleich oder größer als 2 ist, haben Sie TOS verletzt
   • 405: bereits angemeldet in
   • 409: Von einem anderen Ort angemeldet

4. Wenn Sie alte oder abgelaufene serverToken und clientToken verwenden, werden Sie aufgefordert, zu bestätigen, dass Sie weiterhin gültige Verschlüsselungsschlüssel haben.
5. Die Herausforderung sieht aus wie messageTag,["Cmd",{"type":"challenge","challenge":"BASE_64_ENCODED_STRING=="}]
6. Dekodieren Sie challenge -String von Base64, unterschreiben Sie sie mit Ihrem Mackey, codieren Sie sie mit Base64 zurück und senden Sie messageTag,["admin","challenge","BASE_64_ENCODED_STRING==","serverToken","clientId"]
7. Der Server sollte mit {"status": 200} antworten, aber es bedeutet nichts.
8. Nach der Lösung der Herausforderung sollte Ihre Verbindung wiederhergestellt werden.

1. Wenn Sie eine aktive WebSocket -Verbindung haben, senden Sie einfach goodbye,,["admin","Conn","disconnect"] .
2. Wenn Sie keine solche Verbindung haben (z. B. wurde Ihre Sitzung von einem anderen Ort übernommen), unterschreiben Sie Ihren encKey mit Ihrem macKey und codieren Sie sie mit Base64. Nehmen wir an, es ist Ihr logoutToken .
3. Senden Sie eine Postanfrage an https://dyn.web.whatsapp.com/logout?t=browserToken&m=logoutToken
4. Denken Sie daran, Ihre Sitzungen immer zu klären, daher wird die Sitzungsliste in Ihrem Telefon nicht groß.

Nachdem Sie die beiden Schlüssel haben, ist es recht einfach, Nachrichten zu validieren und zu entschlüsseln, die der Server an Sie gesendet wird. Beachten Sie, dass dies nur für binäre Nachrichten benötigt wird. Alle, die Sie erhalten, bleibt einfach. Die binären Nachrichten haben zu Beginn immer 32 Bytes, die die HMAC -Prüfsumme angeben. Sowohl JSON- als auch binäre Nachrichten haben zu ihrem Start, der weggeworfen werden kann, dh nur der Teil nach dem ersten Komma -Charakter ist signifikant.

1. Validieren Sie die Nachricht, indem Sie den tatsächlichen Nachrichteninhalt mit dem macKey -Makey (hier messageContent ist die gesamte Binärnachricht): HmacSha256(macKey, messageContent[32:]) . Wenn dieser Wert nicht gleich messageContent[:32] ist, ist die vom Server gesendete Nachricht ungültig und sollte verworfen werden.
2. Entschlüsseln Sie den Nachrichteninhalt mit AES und dem encKey : AESDecrypt(encKey, messageContent[32:]) .

Die Daten, die Sie im letzten Schritt erhalten, haben ein binäres Format, das im Folgenden beschrieben wird. Auch wenn es Binär ist, können Sie immer noch mehrere Saiten darin sehen, insbesondere der Inhalt der von Ihnen gesendeten Nachrichten.

Das Python -Skript backend/decoder.py implementiert die MessageParser -Klasse. Es ist in der Lage, eine JSON -Struktur aus binären Daten zu erstellen, in denen die Daten noch ziemlich chaotisch organisiert sind. In dem Abschnitt über die folgende Notenbehandlung wird erläutert, wie die Knoten anschließend neu organisiert werden.

MessageParser benötigt zunächst nur einige Daten und verarbeitet es dann Byte nach Byte, dh als Stream. Es hat ein paar Konstanten und viele Methoden, die alle aufeinander aufbauen.

• Tags mit ihren jeweiligen Ganzzahlwerten
  • List_Empty : 0
  • Stream_8 : 2
  • Dictionary_0 : 236
  • Dictionary_1 : 237
  • Dictionary_2 : 238
  • Dictionary_3 : 239
  • LIST_8 : 248
  • LIST_16 : 249
  • JID_PAIR : 250
  • Hex_8 : 251
  • Binary_8 : 252
  • Binary_20 : 253
  • Binary_32 : 254
  • Nibble_8 : 255
• Token sind eine lange Liste von 151 Zeichenfolgen, in denen die Indizes wichtig sind:
  • [None,None,None,"200","400","404","500","501","502","action","add", "after","archive","author","available","battery","before","body", "broadcast","chat","clear","code","composing","contacts","count", "create","debug","delete","demote","duplicate","encoding","error", "false","filehash","from","g.us","group","groups_v2","height","id", "image","in","index","invis","item","jid","kind","last","leave", "live","log","media","message","mimetype","missing","modify","name", "notification","notify","out","owner","participant","paused", "picture","played","presence","preview","promote","query","raw", "read","receipt","received","recipient","recording","relay", "remove","response","resume","retry","s.whatsapp.net","seconds", "set","size","status","subject","subscribe","t","text","to","true", "type","unarchive","unavailable","url","user","value","web","width", "mute","read_only","admin","creator","short","update","powersave", "checksum","epoch","block","previous","409","replaced","reason", "spam","modify_tag","message_info","delivery","emoji","title", "description","canonical-url","matched-text","star","unstar", "media_key","filename","identity","unread","page","page_count", "search","media_message","security","call_log","profile","ciphertext", "invite","gif","vcard","frequent","privacy","blacklist","whitelist", "verify","location","document","elapsed","revoke_invite","expiration", "unsubscribe","disable"]

• Packing Nibbles : Gibt die ASCII -Darstellung für Zahlen zwischen 0 und 9 zurück. Returns - für 10 , . für 11 und für 15.
• HEX -Werte auspacken : Gibt die ASCII -Darstellung für Zahlen zwischen 0 und 9 oder Buchstaben zwischen A und F (dh Großbuchstaben) für Zahlen zwischen 10 und 15 zurück.
• Bytes auspacken : Erwartet ein Tag als zusätzlicher Parameter, nämlich Nibble_8 oder Hex_8 . Packt einen Knabber- oder Hex -Wert entsprechend aus.

• Byte : Ein schlichtes Byte.
• Ganzzahl mit N -Bytes : liest n Bytes und baut eine Nummer aus ihnen heraus. Kann klein oder groß sein; Wenn nicht anders angegeben, wird Big Endian verwendet. Beachten Sie, dass keine negativen Werte möglich sind.
• INT16 : Eine Ganzzahl mit zwei Bytes, die mit Integer mit N -Bytes gelesen wird.
• INT20 : Verbraucht drei Bytes und konstruiert eine Ganzzahl mit den letzten vier Bits des ersten Byte und des gesamten zweiten und dritten Byte. Ist daher immer großer Endian.
• INT32 : Eine Ganzzahl mit vier Bytes, die mit Integer mit N -Bytes gelesen wird.
• INT64 : Eine Ganzzahl mit acht Bytes, die mit Integer mit N -Bytes gelesen wird.
• Packed8 : Erwartet ein Tag als zusätzlicher Parameter, nämlich Nibble_8 oder Hex_8 . Gibt eine Zeichenfolge zurück.
  • Zuerst liest ein Byte n und macht das folgende n&127 viele Male: liest ein Byte l und für jedes Knabbern fügt das Ergebnis seiner ausgepackten Version dem Rückgabewert hinzu (mithilfe von Bytes mit dem angegebenen Tag). Zuerst am bedeutendsten Knabbern.
  • Wenn das bedeutendste Bit von n festgelegt wurde, beseitigt Sie den letzten Charakter des Rückgabewerts.

• Bytes lesen : liest und gibt die angegebene Anzahl von Bytes zurück.
• Überprüfen Sie das Listen -Tag : Erwarten Sie ein Tag als Parameter und gaben true zurück, wenn das Tag LIST_EMPTY , LIST_8 oder LIST_16 ist (dh 0, 248 oder 249).
• LEAD -LISTE -Größe : Erwartet ein Listen -Tag als Parameter. Gibt 0 für LIST_EMPTY zurück, gibt ein Lese -Byte für LIST_8 oder eine Read int16 für LIST_16 zurück.
• Lesen Sie eine Zeichenfolge aus Zeichen : Erwartet die Zeichenfolgelänge als Parameter, liest so viele Bytes und gibt sie als Zeichenfolge zurück.
• Holen Sie sich einen Token : Erwarten Sie einen Index für das Array von Token und geben die jeweilige Zeichenfolge zurück.
• Holen Sie sich ein Doppel -Token : Erwartet zwei Ganzzahlen a und b und erhält das Token am Index a*256+b .

Das Lesen einer Zeichenfolge benötigt ein Tag als Parameter. Abhängig von diesem Tag werden verschiedene Daten gelesen.

• Wenn das Tag zwischen 3 und 235 liegt, wird das Token (dh eine Zeichenfolge) dieses Tags erhalten. Wenn das Token "s.whatsapp.net" ist, wird "c.us" stattdessen zurückgegeben, andernfalls wird das Token so zurückgegeben, wie es ist.
• Wenn sich das Tag zwischen Dictionary_0 und Dictionary_3 befindet, wird ein Doppel-Token zurückgegeben, wobei tag-DICTIONARY_0 als erster und ein Lese-Byte als zweiter Parameter.
• List_Empty : Nichts wird zurückgegeben (z. B. None ).
• BINARY_8 : Ein Byte wird gelesen, mit dem dann eine Zeichenfolge aus Zeichen mit dieser Länge gelesen wird .
• BINARY_20 : Ein INT20 wird gelesen, mit dem dann eine Zeichenfolge aus Zeichen mit dieser Länge gelesen wird .
• BINARY_32 : Ein INT32 wird gelesen, mit dem dann eine Zeichenfolge aus Zeichen mit dieser Länge gelesen wird .
• JID_PAIR
  • Zuerst wird ein Byte gelesen, mit dem dann eine Zeichenfolge i mit diesem Tag gelesen wird.
  • Zweitens wird ein weiteres Byte gelesen, mit dem dann eine Zeichenfolge j mit diesem Tag gelesen wird.
  • Schließlich werden i und j mit einem @ -Zeichen verbunden und das Ergebnis wird zurückgegeben.
• Nibble_8 oder Hex_8 : Ein Packed8 mit diesem Tag wird zurückgegeben.

Das Lesen einer Attributliste muss die Anzahl der Attribute als Parameter gelesen werden. Eine Attributliste ist immer ein JSON -Objekt. Für jedes gelesene Attribut werden die folgenden Schritte ausgeführt, um Schlüsselwertpaare zu erhalten (genau in dieser Reihenfolge!):

• Schlüssel : Ein Byte wird gelesen, mit dem dann eine Zeichenfolge mit diesem Tag gelesen wird .
• Wert : Ein Byte wird gelesen, mit dem dann eine Zeichenfolge mit diesem Tag gelesen wird .

Ein Knoten besteht immer aus einem JSON -Array mit genau drei Einträgen: Beschreibung, Attributen und Inhalt. Die folgenden Schritte sind erforderlich, um einen Knoten zu lesen:

1. Eine Listengröße a wird unter Verwendung eines Lese -Byte als Tag gelesen. Die Listengröße 0 ist ungültig.
2. Das Beschreibungs -Tag wird als Byte gelesen. Der Wert 2 ist für dieses Tag ungültig. Der descr wird dann erhalten, indem eine Zeichenfolge mit diesem Tag gelesen wird .
3. Die Attribute Object attrs werden gelesen, indem ein Attributobjekt mit Länge (a-2 + a%2) >> 1 gelesen wird.
4. Wenn a seltsam war, hat dieser Knoten keinen Inhalt, dh [descr, attrs, None] zurückgegeben.
5. Um den Inhalt des Knotens zu erhalten, wird zuerst ein Byte ein Tag gelesen. Abhängig von diesem Tag tauchen verschiedene Arten von Inhalten auf:
   • Wenn das Tag ein Listen -Tag ist, wird eine Liste mit diesem Tag gelesen (siehe unten für Listen).
   • BINARY_8 : Ein Byte wird gelesen, das dann als Länge zum Lesen von Bytes verwendet wird.
   • BINARY_20 : Ein INT20 wird gelesen, das dann als Länge zum Lesen von Bytes verwendet wird.
   • BINARY_32 : Ein INT32 wird gelesen, das dann als Länge zum Lesen von Bytes verwendet wird.
   • Wenn das Tag etwas anderes ist, wird eine Zeichenfolge mit diesem Tag gelesen .
6. Schließlich wird [descr, attrs, content] zurückgegeben.

Das Lesen einer Liste erfordert ein Listen -Tag (dh list_empty , list_8 oder list_16 ). Die Länge der Liste wird dann durch das Lesen einer Listengröße mit diesem Tag erhalten. Für jeden Listeneintrag wird ein Knoten gelesen .

Nachdem eine binäre Nachricht in JSON verwandelt wurde, ist es immer noch ziemlich schwer zu lesen. Aus diesem Grund überträgt das WhatsApp -Web diese Struktur vollständig in etwas, das leicht verarbeitet und schließlich in Inhalte der Benutzeroberfläche übersetzt werden kann. Dieser Abschnitt wird sich damit befassen und erwartet den Abschluss.

Wenn ein Knoten gelesen wurde, sind der Inhalt von Nachrichten, die tatsächlich vom Benutzer (dh Text, Bild, Audio, Video usw.) gesendet wurden, immer noch nicht direkt sichtbar oder über den JSON zugänglich. Stattdessen werden sie in einer Protobuf -Nachricht gehalten. Siehe hier für die Definitionen. Der "Wrapper" -Meldentyp ist WebMessageInfo .

WhatsApp Web selbst hat auch eine interessante API. Sie können es sogar direkt in Ihrem Browser ausprobieren. Melden Sie sich einfach bei der normalen https://web.whatsapp.com/ an und öffnen Sie dann die Browser -Entwicklungskonsole. Geben Sie nun so etwas wie folgt ein (siehe unten finden Sie Einzelheiten zur Chat -Identifikation):

• window.Store.Wap.profilePicFind("[email protected]").then(res => console.log(res));
• window.Store.Wap.lastseenFind("[email protected]").then(res => console.log(res));
• window.Store.Wap.statusFind("[email protected]").then(res => console.log(res));

Mit der Amazing Chrome Developer -Konsole sehen Sie das window.Store.Wap enthält viele andere sehr interessante Funktionen. Viele von ihnen geben JavaScript -Versprechen zurück. Wenn Sie auf die Registerkarte Netzwerk und dann auf WS klicken (möglicherweise müssen Sie zuerst die Website neu laden) können Sie die Kommunikation zwischen WhatsApp -Web und seinen Servern ansehen.

Die WhatsApp -Web -API verwendet die folgenden Formate, um Chats mit einzelnen Benutzern und Gruppen mehrerer Benutzer zu identifizieren.

• CHats : [country code][number]@c.us , z. B. [email protected] Wenn Sie aus Deutschland sind und Ihre Telefonnummer ist 0123 456789 .
• Gruppen [email protected] [phone number of group creator]-[timestamp of group creation]@g.us , z [email protected]
• Broadcast -Kanäle [timestamp of broadcast channel creation]@broadcast , z 1509911919@broadcast

Es gibt zwei Arten von WebSocket -Nachrichten, die zwischen Server und Client ausgetauscht werden. Einesseits, einfacher JSON, das ziemlich eindeutig ist (insbesondere für die oben genannten API -Aufrufe), verschlüsselte andererseits die binären Nachrichten.

Leider können diese Binärer nicht mit den Chrome -Entwickler -Tools untersucht werden. Darüber hinaus muss das Python -Backend diese Nachrichten natürlich auch entschlüsseln, da sie verschlüsselte Daten enthalten. In dem Abschnitt über Verschlüsselungsdetails wird erläutert, wie es entschlüsselt werden kann.

1. Generieren Sie Ihren eigenen mediaKey , der 32 Bytes sein muss.
2. Erweitern Sie es mit HKDF auf 112 Bytes mit typenspezifischen Anwendungsinformationen (siehe unten). Nennen Sie diesen Wert mediaKeyExpanded .
3. Splited mediaKeyExpanded in:
   • iv : mediaKeyExpanded[:16]
   • cipherKey : mediaKeyExpanded[16:48]
   • macKey : mediaKeyExpanded[48:80]
   • refKey : mediaKeyExpanded[80:] (nicht verwendet)
4. Verschlüsseln Sie die Datei mit AES-CBC mit cipherKey und iv , pad sie und nennen Sie sie enc .
5. Sign iv + enc mit macKey mit HMAC SHA-256 und speichern Sie die ersten 10 Bytes des Hash als mac .
6. Hash die Datei mit SHA-256 und speichern Sie sie als fileSha256 , hash the enc + mac mit SHA-256 und speichern Sie sie als fileEncSha256 .
7. Encodieren Sie die fileEncSha256 mit Base64 und speichern Sie sie als fileEncSha256B64 .
8. Dieser Schritt ist nur für streamable Medien, z. B. Video und Audio erforderlich. Da der CBC-Modus es ermöglicht, eine Daten von zufälligen Offset (blockgröße ausgerichtet) zu entschlüsseln, ist es möglich, die Medien zu spielen und zu suchen, ohne sie vollständig herunterzuladen. Trotzdem müssen wir einen sidecar erzeugen. Tun Sie es, indem Sie jeden [n*64K, (n+1)*64K+16] mit macKey unterschreiben und das Ergebnis auf die ersten 10 Bytes abschneiden. Dann kombinieren Sie alles in einem Stück.

8. Abrufen Sie die Upload-URL ab, indem Sie messageTag,["action", "encr_upload", filetype, fileEncSha256B64]
   • filetype kann image , audio , document oder video sein
9. Erstellen Sie mit den folgenden Feldern eine mehrteilige Form:
   • Feldname: hash : fileEncSha256B64
   • Feldname: file , Dateiname: blob : enc+mac
10. Machen Sie eine Postanforderung an die URL content-type Abfragezeichenfolge ?f=j
11. Alle relevanten Informationen zum Senden der Datei werden jetzt generiert. Erstellen Sie einfach den Proto und senden Sie sie.

1. Holen Sie sich mediaKey und dekodieren Sie es bei Bedarf von Base64.
2. Erweitern Sie es mit HKDF auf 112 Bytes mit typenspezifischen Anwendungsinformationen (siehe unten). Nennen Sie diesen Wert mediaKeyExpanded .
3. Splited mediaKeyExpanded in:
   • iv : mediaKeyExpanded[:16]
   • cipherKey : mediaKeyExpanded[16:48]
   • macKey : mediaKeyExpanded[48:80]
   • refKey : mediaKeyExpanded[80:] (nicht verwendet)
4. Laden Sie Mediendaten von der url herunter und teilen Sie sie in:
   • file : mediaData[:-10]
   • mac : mediaData[-10:]
5. Validieren Sie Mediendaten mit HMAC, indem Sie iv + file mit macKey mit SHA-256 unterzeichnen. Beachten Sie, dass mac auf 10 Bytes abgeschnitten ist, sodass Sie nur die ersten 10 Bytes vergleichen sollten.
6. Entschlüsseln Sie file mit AES-CBC mit cipherKey und iv und löschen Sie sie. Beachten Sie, dass dies bedeutet, dass die Schlüssel Ihrer Sitzung (dh encKey und macKey aus dem Abschnitt "Schlüsselgenerierung ) nicht erforderlich sind, um eine Mediendatei zu entschlüsseln.

Abhängig vom Medientyp sind die wörtlichen Zeichenfolgen in der rechten Spalte die Werte für den appInfo -Parameter aus der HKDF -Funktion.

Die Nachrichten Weiterleitungsverfahren sind ziemlich komplex, da in dem Prozess mehrere Websockes -Websockes beteiligt sind. Befolgen Sie diese Schritte, um Ihre eigenen Befehle hinzuzufügen.

1. Entscheiden Sie zunächst, wie das endgültige Ziel Ihres Befehls sein soll. Um mit dem anderen übereinzustimmen, geben Sie es bitte mit backend_ vor, wenn es vom Python -Backend empfangen werden soll oder api_ verwenden soll, wenn der Befehl an die NodeJS -API gerichtet ist.

2. Schauen Sie sich nun client/js/main.js an. In Zeile 214 sehen Sie eine Instanziierung der BootstrapStep -JavaScript -Klasse. Es benötigt die folgenden Informationen:

   • websocket : Ist wahrscheinlich immer der gleiche
   • request.type : Sollte im Allgemeinen call werden, da eine Antwort an den Absender des Befehls zurückgegeben wird
   • request.callArgs : Ein Objekt, das ein command enthalten muss, in dem der Name Ihres Befehls angegeben wird, und so viele zusätzliche Schlüsselwert-Pairs, wie Sie möchten. All dies wird an den Empfänger übergeben.
   • request.successCondition : Wenn Sie eine Antwort für einen Anruf erhalten, ist dies eine Funktion, die true zurückgibt, wenn die Antwort gültig/erwartet ist. Verwenden Sie das nächste Attribut zum Angeben von Code, der ausgeführt werden soll, wenn die Antwort gültig ist.
   • request.successActor : Wenn die Erfolgsbedingung für true bewertet wurde, heißt diese Erfolgsakteurfunktion

   Wenn das BootstrapStep -Objekt konstruiert wurde, rufen Sie .run() auf, um auf unbestimmte Zeit oder .run(timeout_ms) auszuführen, wenn nach einem bestimmten Timeout keine Antwort empfangen wurde. Die run gibt ein Versprechen zurück.

3. Als nächstes bearbeiten index.js . Es enthält ein paar Blöcke, die mit clientWebsocket.waitForMessage beginnen. Sie können eines dieser Blöcke kopieren und die Parameter bearbeiten. Die waitForMessage -Funktion benötigt die folgenden Attribute:

   • condition : Wenn eine Nachricht empfangen wird und diese Bedingung zu true bewertet wird, wird die Nachricht vom folgenden .then(...) Block verarbeitet
   • keepWhenHit : Es ist möglich, dass ein Nachrichtenhandler sofort nach dem Empfang seiner ersten Anpassungsnachricht abgelöst wird. Kontrolle dies hier. Der Block des zurückgegebenen Versprechens handelt then mit einer empfangenen Nachricht. Es wird eine clientCallRequest erhalten, die Sie .respond({...}) anrufen können, um eine JSON -Antwort an den Anrufer zu senden. Wenn die NodeJS -API nicht das endgültige Ziel der Nachricht ist, müssen Sie hier einen neuen BootstrapStep instanziieren, der sich mit dem Python -Backend in Verbindung setzt und nach ihrer Antwort sie an den ursprünglichen Anrufer zurückgibt.

4. Wenn Sie also eine Nachricht für das Backend wünschen, bearbeiten Sie jetzt backend/whatsapp-web-backend.py . Fügen Sie in der IF-ELSE-Kompound in Zeile 88 Ihren eigenen Zweig für den von Ihnen gewählten Befehlsnamen hinzu. Bearbeiten Sie dann backend/whatsapp.py und fügen Sie eine ähnliche Funktion in Zeile generateQRCode hinzu. Verwenden Sie nur etwas wie in getLoginInfo möglicherweise nicht, da Ihr Befehl möglicherweise eine asynchrone Anfrage an die WhatsApp -Webserver erfordert. self.activeWs Sie in diesem Fall sicher, dass Sie self.messageQueue einen Eintrag hinzufügen. Die Server antworten auf Ihre Anfrage mit einer Antwort mit demselben Tag. Daher wird dies in Zeile 134 gelöst. Nennen Sie schließlich pend["callback"]["func"]({...}) mit dem JSON -Objekt, das Ihre Antwortdaten enthält, um den Rückruf zu beheben.

Bitte beachten Sie, dass diese Version nicht stabil genug ist, um in der Produktion bereitzustellen.

docker build . -t whatsapp-web-reveng

docker run -p 2019:2019 -p 2018:2018 whatsapp-web-reveng

Frontend (Client) unter: http: // localhost: 2018/

Die Adressen der verwendeten Websockets sind standardmäßig "Localhost". Wenn Sie diesen Docker auf Ihrem eigenen Server bereitstellen und teilen möchten, ändern Sie die Backend WebSocket -Adresse im Frontend. client/js/main.js

 let backendInfo = {
    url : "ws://{{your-server-addr}}:2020" ,
    timeout : 10000
} ;

Front End (Client) unter :: http: // {{your-server-addr}}: 2018/

• Immer mehr Fehler treten bei der Binärnachrichtendecodierung auf. Aktualisieren Sie diese Dokumentation, um den Änderungen zu ähneln, und implementieren Sie sie dann.
• Ermöglichen Sie auch Nachrichten. Natürlich ist JSON einfach, aber das Schreiben des Binärnachrichtenformates muss untersucht werden.

• Erlauben Sie die Sitzung nach erfolgreichem Anmeldung wieder. Wahrscheinlich sind normale Kekse dafür am besten. Weitere Informationen finden Sie in #9.
• Eine Benutzeroberfläche, die nicht so technisch ist, sondern die tatsächliche WhatsApp -Web -Benutzeroberfläche nachahmt.

• Lassen Sie die Verwendung unter Windows zulassen, dh die vollständige Behebung von #16.

• Der Schnitt zur Handhabung des Knotens . Könnte sehr lang werden.
• Lagern Sie die verschiedenen Dokumentationsteile in ihre eigenen Dateien aus, möglicherweise in die gh-pages Filiale.

Dieser Code ist in keiner Weise mit WhatsApp oder einer seiner verbundenen Unternehmen oder Tochterunternehmen mit dem, autorisiert, gewartet, gesponsert oder unterstützt. Dies ist eine unabhängige und inoffizielle Software. Verwenden Sie auf eigenes Risiko.

Diese Verteilung umfasst kryptografische Software. Das Land, in dem Sie derzeit wohnen, kann Einschränkungen für den Import, den Besitz, die Verwendung und/oder das Wiederieren von einem anderen Land der Verschlüsselungssoftware haben. Bevor Sie eine Verschlüsselungssoftware verwenden, überprüfen Sie bitte die Gesetze, Vorschriften und Richtlinien Ihres Landes in Bezug auf den Import, den Besitz oder die Nutzung und die Wiederbelebung der Verschlüsselungssoftware, um festzustellen, ob dies zulässig ist. Weitere Informationen finden Sie unter http://www.wassenaar.org/.

Das US -Handel der US -Regierung, Bureau of Industry and Security (BIS), hat diese Software als Export -Commodity Control Number (ECCN) 5D002.c.1 klassifiziert, die die Informationssicherheitssoftware unter Verwendung oder Durchführung von kryptografischen Funktionen mit asymmetrischen Algorithmen enthält. Die Form und Art und Weise dieser Verteilung können für den Exportieren der Lizenzausnahme -Enc -Technologie -Software (TSU) (siehe die BIS -Exportverwaltungsvorschriften, Abschnitt 740.13) für Objektcode als auch für den Quellcode in Anspruch genommen werden.