whatsapp web reveng

Proyek ini bermaksud untuk memberikan deskripsi lengkap dan penerapan kembali dari WhatsApp Web API, yang pada akhirnya akan mengarah ke klien khusus. WhatsApp Web secara internal berfungsi menggunakan WebSockets; Proyek ini juga melakukannya.

Tidak perlu menginstal atau mengelola versi Python dan Node, file shell.nix mendefinisikan lingkungan dengan semua dependensi yang disertakan untuk menjalankan proyek ini.

Ada file .envrc di folder root yang dipanggil secara otomatis ketika cd ing (mengubah direktori) untuk diproyeksikan, jika program direnv diinstal bersama dengan nix Anda harus mendapatkan output seperti ini:

 > cd ~ /dev/whatsapp
Installing node modules
npm WARN prepare removing existing node_modules/ before installation

> [email protected] install /home/rainy/dev/whatsapp/node_modules/fsevents
> node-gyp rebuild

make: Entering directory ' /home/rainy/dev/whatsapp/node_modules/fsevents/build '
  SOLINK_MODULE(target) Release/obj.target/.node
  COPY Release/.node
make: Leaving directory ' /home/rainy/dev/whatsapp/node_modules/fsevents/build '

> [email protected] postinstall /home/rainy/dev/whatsapp/node_modules/nodemon
> node bin/postinstall || exit 0

added 310 packages in 3.763s
Done.

$$       $$  $$                   $$ 
$$ | $   $$ | $$ |                 $$ |
$$ | $$ $  $$ | $$$$$$ $    $$$$$$  $$$$$$     $$$$$$ $   $$$$$$    $$$$$$    $$$$$$ 
$$ $$ $$ $ $ | $$  __ $$   _ ___ $$ \ _ $$  _ |  $$  _____ | _ ___ $$  $$  __ $$  $$  __ $$ 
$$$$  _ $$$$ | $$ |  $$ | $$$$$$ $ | $$ |    $ $$$$ $    $$$$$$ $ | $$ /  $$ | $$ /  $$ |
$$ $  / $ $$ | $$ |  $$ | $$  __ $$ | $$ | $$   _ ___ $$  $$  __ $$ | $$ |  $$ | $$ |  $$ |
$$  /   $ $ | $$ |  $$ | $ $$$$$$ | $ $$ $  | $$$$$$ $  | $ $$$$$$ | $$$$$$ $  | $$$$$$ $  |
_ _/     _ _ | _ _ |  _ _ | _ ______ |  _ ___/ _ ______/  _ ______ | $$  ____/ $$  ____/
                                                              $$ |      $$ |
                                                              $$ |      $$ |
                                                              _ _ |      _ _ |
Node v13.13.0
Python 2.7.17

Try running server with: npm start

[nix-shell: ~ /dev/whatsapp]$ 

Jika Anda tidak menggunakan direnv atau hanya ingin secara manual masuk ke lingkungan build do:

nix-shell

di root proyek

Sebelum Anda dapat menjalankan aplikasi, pastikan bahwa Anda memiliki perangkat lunak berikut yang diinstal:

• Node.js (setidaknya versi 8, seperti sintaks async await digunakan)
• Python 2.7 dengan paket pip berikut diinstal:
  • websocket-client dan git+https://github.com/dpallot/simple-websocket-server.git untuk bertindak sebagai server web dan klien.
  • curve25519-donna dan pycrypto untuk hal-hal enkripsi.
  • pyqrcode untuk pembuatan kode QR.
  • protobuf untuk membaca dan menulis format percakapan biner.
• Catatan: Pada Windows curve25519-donna memerlukan Microsoft Visual C ++ 9.0 dan Anda perlu menyalin stdint.h ke C:UsersYOUR USERNAMEAppDataLocalProgramsCommonMicrosoftVisual C++ for Python9.0VCinclude .

Sebelum memulai aplikasi untuk pertama kalinya, jalankan npm install -f untuk menginstal semua simpul dan pip install -r requirements.txt untuk semua dependensi Python.

Terakhir, untuk akhirnya meluncurkannya, cukup jalankan npm start pada OS dan npm run win berbasis Linux di Windows. Menggunakan Fancy concurrently dan nodemon Magic, ketiga komponen lokal akan dimulai setelah satu sama lain dan ketika Anda mengedit file, modul yang diubah akan secara otomatis restart untuk menerapkan perubahan.

Tambahan baru-baru ini adalah versi rutin dekripsi yang diterjemahkan ke javascript in-browser. Jalankan node index_jsdemo.js (hanya diperlukan karena browser tidak mengizinkan mengubah header http untuk websockets), kemudian buka client/login-via-js-demo.html sebagai file normal di browser apa pun. Output konsol harus menampilkan pesan biner yang didekripsi setelah memindai kode QR.

Adiwajshing membuat baileys, perpustakaan simpul yang mengimplementasikan WhatsApp Web API.

Ndunks membuat penerimaan ulang naskah di Wajs.

P4KL0NC4T membuat Kyros, paket Python yang mengimplementasikan WhatsApp Web API.

Dengan whatsappweb-rs, Wiomoc membuat klien web whatsapp di karat.

Rhymen membuat go-whatsapp, paket go yang mengimplementasikan WhatsApp Web API.

Vzaramel membuat whatsappweb-clj, perpustakaan clojure yang mengimplementasikan WhatsApp Web API.

Proyek ini diselenggarakan dengan cara berikut. Perhatikan port yang digunakan dan pastikan bahwa mereka tidak digunakan di tempat lain sebelum memulai aplikasi.

WhatsApp Web mengenkripsi data menggunakan beberapa algoritma yang berbeda. Ini termasuk AES 256 CBC, Curve25519 sebagai skema perjanjian kunci diffie-Hellman, HKDF untuk menghasilkan rahasia bersama yang diperluas dan HMAC dengan SHA256.

Memulai sesi web WhatsApp terjadi hanya dengan menghubungkan ke salah satu server Websocket di wss://w[1-8].web.whatsapp.com/ws ( wss:// berarti bahwa koneksi WebSocket aman; w[1-8] berarti berapa pun angka antara 1 dan 8 dapat mengikuti w ). Pastikan juga, ketika membangun koneksi, Origin: https://web.whatsapp.com diatur, jika tidak koneksi akan ditolak.

Saat Anda mengirim pesan ke WhatsApp Web Websocket, mereka harus berada dalam format tertentu. Cukup sederhana dan terlihat seperti messageTag,JSON , misalnya 1515590796,["data",123] . Perhatikan bahwa tampaknya tag pesan bisa apa saja. Aplikasi ini sebagian besar menggunakan cap waktu saat ini sebagai tag, hanya untuk menjadi sedikit unik. WhatsApp sendiri sering menggunakan tag pesan seperti s1 , 1234.--0 atau sesuatu seperti itu. Jelas tag pesan mungkin tidak mengandung koma. Selain itu, objek JSON dimungkinkan serta muatan.

Untuk masuk di Websocket yang terbuka, ikuti langkah -langkah ini:

1. Hasilkan clientId Anda sendiri, yang perlu 16 byte yang dikodekan base64 (yaitu 25 karakter). Aplikasi ini hanya menggunakan 16 byte acak, yaitu base64.b64encode(os.urandom(16)) dalam Python.
2. Putuskan tag untuk pesan Anda, yang kurang lebih sewenang -wenang (lihat di atas). Aplikasi ini menggunakan cap waktu saat ini (dalam detik) untuk itu. Ingat tag ini untuk nanti.
3. Pesan yang Anda kirim ke WebSocket terlihat seperti ini: messageTag,["admin","init",[0,3,2390],["Long browser description","ShortBrowserDesc"],"clientId",true] .
   • Jelas, Anda perlu mengganti messageTag dan clientId dengan nilai -nilai yang Anda pilih sebelumnya
   • Bagian [0,3,2390] menentukan versi web WhatsApp saat ini. Nilai terakhir sering berubah. Itu harus sangat kompatibel dengan sangat ke belakang.
   • "Long browser description" adalah string sewenang -wenang yang akan ditampilkan di aplikasi WhatsApp dalam daftar klien web WhatsApp terdaftar setelah Anda memindai kode QR.
   • "ShortBrowserDesc" belum diamati di mana pun tetapi juga sewenang -wenang.
4. Setelah beberapa saat, Websocket Anda akan menerima pesan dalam format yang ditentukan dengan tag pesan yang Anda pilih pada langkah 2 . Objek JSON dari pesan ini memiliki atribut berikut:
   • status : harus 200
   • ref : Dalam aplikasi, ini diperlakukan sebagai ID server; Penting untuk generasi QR, lihat di bawah
   • ttl : adalah tahun 20000, mungkin waktu setelah kode QR menjadi tidak valid
   • update : Bendera Boolean
   • curr : Versi web WhatsApp saat ini, misalnya 0.2.7314
   • time : Cap waktu server merespons, seperti floating-point milidetik, misalnya 1515592039037.0

5. Hasilkan kunci pribadi Anda sendiri dengan Curve25519, misalnya curve25519.Private() .
6. Dapatkan kunci publik dari kunci pribadi Anda, misalnya privateKey.get_public() .
7. Dapatkan string yang kemudian dikodekan oleh kode QR dengan menggabungkan nilai -nilai berikut dengan koma:
   • ID server, yaitu atribut ref dari langkah 4
   • Versi Base64 yang dikodekan dari kunci publik Anda, yaitu base64.b64encode(publicKey.serialize())
   • ID klien Anda
8. Ubah string ini menjadi gambar (misalnya menggunakan pyqrcode ) dan pindai menggunakan aplikasi WhatsApp.

9. Anda dapat meminta hingga 5 referensi server baru ketika sebelumnya One Exires ( ttl ).
10. Lakukan dengan mengirim messageTag,["admin","Conn","reref"] .
11. Server merespons dengan JSON dengan atribut berikut:
    • status : Harus 200 (yang lain: 304 - Gunakan kembali Ref sebelumnya, 429 - Ref baru ditolak)
    • ref : Ref baru
    • ttl : Waktu Kedaluwarsa
12. Perbarui kode QR Anda dengan referensi baru.

13. Segera setelah Anda memindai kode QR, WebSocket menerima beberapa pesan JSON penting yang membangun detail enkripsi. Ini menggunakan format pesan yang ditentukan dan memiliki array JSON sebagai muatan. Tag pesan mereka tidak memiliki arti khusus. Entri pertama dari array JSON memiliki salah satu nilai berikut:
    • Conn : Array berisi objek JSON sebagai elemen kedua dengan informasi koneksi yang berisi atribut berikut dan banyak lagi:
      • battery : Persentase baterai ponsel Anda saat ini
      • browserToken : Digunakan untuk keluar tanpa koneksi WebSocket aktif (belum diimplementasikan)
      • clientToken : Digunakan untuk melanjutkan sesi tertutup alias "Remember Me" (belum diimplementasikan)
      • phone : Objek dengan informasi terperinci tentang ponsel Anda, misalnya device_manufacturer , device_model , os_build_number , os_version
      • platform : OS ponsel Anda, misalnya android
      • pushname : Nama Anda yang Anda berikan whatsapp
      • secret (ingat ini!)
      • serverToken : Digunakan untuk melanjutkan sesi tertutup alias "ingat saya" (belum diimplementasikan)
      • wid : Nomor telepon Anda dalam format identifikasi obrolan (lihat di bawah)
    • Stream : Array memiliki empat elemen secara total, sehingga seluruh muatan seperti ["Stream","update",false,"0.2.7314"]
    • Props : Array berisi objek JSON sebagai elemen kedua dengan beberapa properti seperti imageMaxKBytes (1024), maxParticipants (257), videoMaxEdge (960) dan lainnya

14. Anda sekarang siap untuk menghasilkan kunci enkripsi akhir. Mulailah dengan mendekode secret dari Conn sebagai base64 dan menyimpannya sebagai secret . Rahasia decoded ini akan panjang 144 byte.
15. Ambil 32 byte pertama dari rahasia yang didekodekan dan gunakan sebagai kunci publik. Bersama dengan kunci pribadi Anda, hasilkan kunci bersama dan sebut saja sharedSecret . Aplikasi melakukannya menggunakan privateKey.get_shared_key(curve25519.Public(secret[:32]), lambda a:a) .
16. Perluas sharedSecret ke 80 byte menggunakan HKDF. Panggil nilai ini sharedSecretExpanded .
17. Langkah ini opsional, memvalidasi data yang disediakan oleh server. Metode ini disebut validasi HMAC . LAKUKAN DENGAN PERTAMA MENGHANCURKAN HmacSha256(sharedSecretExpanded[32:64], secret[:32] + secret[64:]) . Bandingkan nilai ini dengan secret[32:64] . Jika mereka tidak sama, batalkan login.
18. Anda sekarang memiliki kunci terenkripsi: Store sharedSecretExpanded[64:] + secret[64:] sebagai keysEncrypted .
19. Kunci terenkripsi sekarang perlu didekripsi menggunakan AE dengan sharedSecretExpanded[:32] sebagai kuncinya, yaitu toko AESDecrypt(sharedSecretExpanded[:32], keysEncrypted) sebagai keysDecrypted .
20. Variabel keysDecrypted panjangnya 64 byte dan berisi dua tombol, masing -masing panjang 32 byte. encKey digunakan untuk mendekripsi pesan biner yang dikirimkan kepada Anda oleh server web WhatsApp atau mengenkripsi pesan biner yang Anda kirim ke server. macKey diperlukan untuk memvalidasi pesan yang dikirimkan kepada Anda:
    • encKey : keysDecrypted[:32]
    • macKey : keysDecrypted[32:64]

1. Setelah mengirim perintah init , periksa apakah Anda memiliki serverToken dan clientToken .
2. Jika demikian, kirim messageTag,["admin","login","clientToken","serverToken","clientId","takeover"]
3. Server harus merespons dengan {"status": 200} . Status Lainnya:
   • 401: tidak berpasangan dari telepon
   • 403: Akses ditolak, periksa bidang tos di JSON: Jika sama atau lebih dari 2, Anda telah melanggar TOS
   • 405: sudah masuk
   • 409: Masuk dari lokasi lain

4. Saat menggunakan serverToken lama atau clientToken , Anda akan ditantang untuk mengkonfirmasi bahwa Anda masih memiliki kunci enkripsi yang valid.
5. Tantangannya terlihat seperti messageTag,["Cmd",{"type":"challenge","challenge":"BASE_64_ENCODED_STRING=="}]
6. String challenge decode dari base64, tandatangani dengan mackey Anda, encode kembali dengan base64 dan kirim messageTag,["admin","challenge","BASE_64_ENCODED_STRING==","serverToken","clientId"]
7. Server harus merespons dengan {"status": 200} , tetapi itu tidak ada artinya.
8. Setelah menyelesaikan tantangan, koneksi Anda harus dipulihkan.

1. Saat Anda memiliki koneksi Websocket yang aktif, cukup kirimkan goodbye,,["admin","Conn","disconnect"] .
2. Ketika Anda tidak memiliki koneksi seperti itu (misalnya sesi Anda telah diambil alih dari lokasi lain), tandatangani encKey Anda dengan macKey Anda dan encode dengan Base64. Katakanlah itu adalah logoutToken Anda.
3. Kirim permintaan posting ke https://dyn.web.whatsapp.com/logout?t=browserToken&m=logoutToken
4. Ingatlah untuk selalu menghapus sesi Anda, jadi daftar sesi di ponsel Anda tidak akan tumbuh besar.

Sekarang Anda memiliki dua kunci, memvalidasi dan mendekripsi pesan yang dikirimkan kepada server kepada Anda cukup mudah. Perhatikan bahwa ini hanya diperlukan untuk pesan biner , semua JSON yang Anda terima tetap sederhana. Pesan biner selalu memiliki 32 byte di awal yang menentukan checksum HMAC. Baik JSON dan pesan biner memiliki tag pesan pada awalnya yang dapat dibuang, yaitu hanya porsi setelah karakter koma pertama yang signifikan.

1. Validasi pesan dengan hashing konten pesan yang sebenarnya dengan macKey (di sini messageContent adalah seluruh pesan biner): HmacSha256(macKey, messageContent[32:]) . Jika nilai ini tidak sama dengan messageContent[:32] , pesan yang dikirimkan kepada Anda oleh server tidak valid dan harus dibuang.
2. Mendekripsi konten pesan menggunakan AES dan encKey : AESDecrypt(encKey, messageContent[32:]) .

Data yang Anda dapatkan dalam langkah terakhir memiliki format biner yang dijelaskan sebagai berikut. Meskipun itu biner, Anda masih dapat melihat beberapa string di dalamnya, terutama konten pesan yang Anda kirim cukup jelas di sana.

Skrip Python backend/decoder.py mengimplementasikan kelas MessageParser . Ini mampu membuat struktur JSON dari data biner di mana data masih diatur dengan cara yang agak berantakan. Bagian tentang penanganan simpul di bawah ini akan membahas bagaimana node direorganisasi setelahnya.

MessageParser awalnya hanya membutuhkan beberapa data dan kemudian memprosesnya byte byte, yaitu sebagai aliran. Ini memiliki beberapa konstanta dan banyak metode yang semuanya dibangun satu sama lain.

• Tag dengan nilai integer masing -masing
  • List_empty : 0
  • Stream_8 : 2
  • Dictionary_0 : 236
  • Dictionary_1 : 237
  • Dictionary_2 : 238
  • Dictionary_3 : 239
  • List_8 : 248
  • List_16 : 249
  • JID_PAIR : 250
  • Hex_8 : 251
  • Binary_8 : 252
  • Binary_20 : 253
  • Binary_32 : 254
  • Nibble_8 : 255
• Token adalah daftar panjang 151 string di mana indeks penting:
  • [None,None,None,"200","400","404","500","501","502","action","add", "after","archive","author","available","battery","before","body", "broadcast","chat","clear","code","composing","contacts","count", "create","debug","delete","demote","duplicate","encoding","error", "false","filehash","from","g.us","group","groups_v2","height","id", "image","in","index","invis","item","jid","kind","last","leave", "live","log","media","message","mimetype","missing","modify","name", "notification","notify","out","owner","participant","paused", "picture","played","presence","preview","promote","query","raw", "read","receipt","received","recipient","recording","relay", "remove","response","resume","retry","s.whatsapp.net","seconds", "set","size","status","subject","subscribe","t","text","to","true", "type","unarchive","unavailable","url","user","value","web","width", "mute","read_only","admin","creator","short","update","powersave", "checksum","epoch","block","previous","409","replaced","reason", "spam","modify_tag","message_info","delivery","emoji","title", "description","canonical-url","matched-text","star","unstar", "media_key","filename","identity","unread","page","page_count", "search","media_message","security","call_log","profile","ciphertext", "invite","gif","vcard","frequent","privacy","blacklist","whitelist", "verify","location","document","elapsed","revoke_invite","expiration", "unsubscribe","disable"]

• Membongkar cambukan : Mengembalikan representasi ASCII untuk angka antara 0 dan 9. Pengembalian - untuk 10 , . untuk 11 dan untuk 15.
• Membongkar nilai hex : Mengembalikan representasi ASCII untuk angka antara 0 dan 9 atau huruf antara A dan F (yaitu huruf besar) untuk angka antara 10 dan 15.
• Membongkar byte : mengharapkan tag sebagai parameter tambahan, yaitu nibble_8 atau hex_8 . Membongkar nilai gigitan atau hex yang sesuai.

• Byte : byte polos.
• Integer dengan n byte : membaca n byte dan membangun nomor dari mereka. Bisa menjadi endian kecil atau besar; Jika tidak ditentukan sebaliknya, Big Endian digunakan. Perhatikan bahwa tidak ada nilai negatif yang mungkin.
• Int16 : Integer dengan dua byte, baca menggunakan integer dengan n byte .
• Int20 : mengkonsumsi tiga byte dan membangun bilangan bulat menggunakan empat bit terakhir byte pertama dan seluruh byte kedua dan ketiga. Oleh karena itu selalu menjadi endian besar.
• Int32 : Integer dengan empat byte, baca menggunakan integer dengan n byte .
• Int64 : bilangan bulat dengan delapan byte, baca menggunakan integer dengan n byte .
• Packed8 : mengharapkan tag sebagai parameter tambahan, yaitu nibble_8 atau hex_8 . Mengembalikan string.
  • Pertama membaca byte n dan melakukan n&127 berikut ini berkali -kali: membaca byte l dan untuk setiap gigitan, menambahkan hasil dari versi yang tidak dibongkar ke nilai pengembalian (menggunakan pembongkaran byte dengan tag yang diberikan). Gigitan paling signifikan dulu.
  • Jika bit n yang paling signifikan ditetapkan, menghilangkan karakter terakhir dari nilai pengembalian.

• Baca byte : baca dan kembalikan jumlah byte yang ditentukan.
• Periksa Tag Daftar : Mengharapkan tag sebagai parameter dan mengembalikan true jika tag tersebut adalah LIST_EMPTY , LIST_8 atau LIST_16 (yaitu 0, 248 atau 249).
• Baca Ukuran Daftar : Mengharapkan tag daftar sebagai parameter. Mengembalikan 0 untuk LIST_EMPTY , mengembalikan byte baca untuk LIST_8 atau baca int16 untuk LIST_16 .
• Baca string dari karakter : mengharapkan panjang string sebagai parameter, membaca banyak byte dan mengembalikannya sebagai string.
• Dapatkan token : Mengharapkan indeks ke array token , dan mengembalikan string masing -masing.
• Dapatkan token ganda : mengharapkan dua bilangan bulat a dan b dan mendapatkan token di indeks a*256+b .

Membaca string membutuhkan tag sebagai parameter. Bergantung pada tag ini, data yang berbeda dibaca.

• Jika tag adalah antara 3 dan 235, token (yaitu string) tag ini didapat. Jika tokennya adalah "s.whatsapp.net" , "c.us" sebagai gantinya dikembalikan, jika tidak token dikembalikan sebagaimana adanya.
• Jika tag adalah antara Dictionary_0 dan Dictionary_3 , token ganda dikembalikan, dengan tag-DICTIONARY_0 sebagai yang pertama dan byte baca sebagai parameter kedua.
• List_empty : Tidak ada yang dikembalikan (mis. None ).
• Binary_8 : Byte dibaca yang kemudian digunakan untuk membaca string dari karakter dengan panjang ini.
• Binary_20 : Int20 dibaca yang kemudian digunakan untuk membaca string dari karakter dengan panjang ini.
• Binary_32 : Int32 dibaca yang kemudian digunakan untuk membaca string dari karakter dengan panjang ini.
• Jid_pair
  • Pertama, byte dibaca yang kemudian digunakan untuk membaca string i dengan tag ini.
  • Kedua, byte lain dibaca yang kemudian digunakan untuk membaca string j dengan tag ini.
  • Akhirnya, i dan j bergabung bersama dengan tanda @ dan hasilnya dikembalikan.
• Nibble_8 atau hex_8 : A Packed8 dengan tag ini dikembalikan.

Membaca daftar atribut membutuhkan jumlah atribut untuk dibaca sebagai parameter. Daftar atribut selalu merupakan objek JSON. Untuk setiap atribut yang dibaca, langkah-langkah berikut dieksekusi untuk mendapatkan pasangan nilai kunci (tepat dalam urutan ini!):

• Kunci : Byte dibaca yang kemudian digunakan untuk membaca string dengan tag ini.
• Nilai : Byte dibaca yang kemudian digunakan untuk membaca string dengan tag ini.

Node selalu terdiri dari array JSON dengan tepat tiga entri: deskripsi, atribut, dan konten. Langkah -langkah berikut diperlukan untuk membaca node:

1. Ukuran daftar a dibaca dengan menggunakan byte baca sebagai tag. Ukuran daftar 0 tidak valid.
2. Tag deskripsi dibaca sebagai byte. Nilai 2 tidak valid untuk tag ini. Deskripsi String descr kemudian diperoleh dengan membaca string dengan tag ini.
3. Atribut objek attrs dibaca dengan membaca objek atribut dengan panjang (a-2 + a%2) >> 1 .
4. Jika a ganjil, simpul ini tidak memiliki konten, yaitu [descr, attrs, None] dikembalikan.
5. Untuk mendapatkan konten node, pertama byte, yaitu tag dibaca. Tergantung pada tag ini, berbagai jenis konten muncul:
   • Jika tag adalah tag daftar , daftar dibaca menggunakan tag ini (lihat di bawah untuk daftar).
   • Binary_8 : Byte dibaca yang kemudian digunakan sebagai panjang untuk membaca byte .
   • Binary_20 : Int20 dibaca yang kemudian digunakan sebagai panjang untuk membaca byte .
   • Binary_32 : Int32 dibaca yang kemudian digunakan sebagai panjang untuk membaca byte .
   • Jika tag adalah sesuatu yang lain, string dibaca menggunakan tag ini.
6. Akhirnya, [descr, attrs, content] dikembalikan.

Membaca daftar memerlukan tag daftar (yaitu list_empty , list_8 atau list_16 ). Panjang daftar kemudian diperoleh dengan membaca ukuran daftar menggunakan tag ini. Untuk setiap entri daftar, sebuah simpul dibaca .

Setelah pesan biner telah diubah menjadi JSON, masih agak sulit dibaca. Itulah sebabnya, secara internal, WhatsApp Web sepenuhnya memprantesan kembali struktur ini menjadi sesuatu yang dapat dengan mudah diproses dan akhirnya diterjemahkan ke dalam konten antarmuka pengguna. Bagian ini akan menangani ini dan menunggu penyelesaian.

Ketika sebuah node telah dibaca, isi pesan yang telah benar -benar dikirim oleh pengguna (yaitu teks, gambar, audio, video, dll.) Masih belum terlihat secara langsung atau diakses melalui JSON. Sebaliknya, mereka disimpan dalam pesan protobuf. Lihat di sini untuk definisi. Jenis pesan "Wrapper" adalah WebMessageInfo .

Whatsapp Web itu sendiri memiliki API yang menarik juga. Anda bahkan dapat mencobanya secara langsung di browser Anda. Cukup masuk di https://web.whatsapp.com/ normal, lalu buka konsol pengembangan browser. Sekarang masukkan sesuatu seperti berikut (lihat di bawah untuk detail tentang identifikasi obrolan):

• window.Store.Wap.profilePicFind("[email protected]").then(res => console.log(res));
• window.Store.Wap.lastseenFind("[email protected]").then(res => console.log(res));
• window.Store.Wap.statusFind("[email protected]").then(res => console.log(res));

Menggunakan konsol pengembang Chrome yang luar biasa, Anda dapat melihat window.Store.Wap berisi banyak fungsi yang sangat menarik lainnya. Banyak dari mereka mengembalikan janji JavaScript. Saat Anda mengklik tab jaringan dan kemudian di WS (mungkin Anda perlu memuat ulang situs terlebih dahulu), Anda dapat melihat semua komunikasi antara WhatsApp Web dan servernya.

WhatsApp Web API menggunakan format berikut untuk mengidentifikasi obrolan dengan pengguna individu dan grup banyak pengguna.

• Obrolan : [country code][number]@c.us , mis. [email protected] saat Anda berasal dari Jerman dan nomor telepon Anda adalah 0123 456789 .
• Grup [email protected] [phone number of group creator]-[timestamp of group creation]@g.us , mis [email protected]
• Saluran siaran [timestamp of broadcast channel creation]@broadcast , mis. 1509911919@broadcast untuk saluran siaran yang dibuat pada 5 November 2017.

Ada dua jenis pesan WebSocket yang dipertukarkan antara server dan klien. Di satu sisi, JSON polos yang agak jelas (terutama untuk panggilan API di atas), di sisi lain pesan biner dienkripsi.

Sayangnya, yang biner ini tidak dapat dilihat menggunakan alat pengembang Chrome. Selain itu, backend Python, yang tentu saja juga menerima pesan -pesan ini, perlu mendekripsi, karena berisi data terenkripsi. Bagian tentang detail enkripsi membahas bagaimana hal itu dapat didekripsi.

1. Hasilkan mediaKey Anda sendiri, yang harus 32 byte.
2. Perluas ke 112 byte menggunakan HKDF dengan info aplikasi spesifik tipe (lihat di bawah). Sebut nilai ini mediaKeyExpanded .
3. Split mediaKeyExpanded menjadi:
   • iv : mediaKeyExpanded[:16]
   • cipherKey : mediaKeyExpanded[16:48]
   • macKey : mediaKeyExpanded[48:80]
   • refKey : mediaKeyExpanded[80:] (tidak digunakan)
4. Enkripsi file dengan AES-CBC menggunakan cipherKey dan iv , padanya dan sebut saja enc .
5. Tanda iv + enc dengan macKey menggunakan HMAC SHA-256 dan simpan 10 byte pertama hash sebagai mac .
6. Hash file dengan SHA-256 dan menyimpannya sebagai fileSha256 , hash enc + mac dengan SHA-256 dan menyimpannya sebagai fileEncSha256 .
7. Kode fileEncSha256 dengan base64 dan simpan sebagai fileEncSha256B64 .
8. Langkah ini diperlukan hanya untuk media yang dapat dirampingkan, misalnya video dan audio. Karena mode CBC memungkinkan untuk mendekripsi data dari Offset acak (blok-ukuran yang disejajarkan), dimungkinkan untuk bermain dan mencari media tanpa perlu sepenuhnya mengunduhnya. Yang mengatakan, kita perlu menghasilkan sidecar . Lakukan dengan menandatangani setiap [n*64K, (n+1)*64K+16] chunk dengan macKey , memotong hasilnya ke 10 byte pertama. Kemudian gabungkan semuanya dalam satu potong.

8. Ambil Upload-URL dengan mengirim messageTag,["action", "encr_upload", filetype, fileEncSha256B64]
   • filetype dapat menjadi salah satu image , audio , document atau video
9. Buat bentuk multipart dengan bidang berikut:
   • FieldName: hash : fileEncSha256B64
   • FieldName: file , FileName: blob : enc+mac
10. Lakukan permintaan posting ke URL dengan string kueri ?f=j dan content-type yang benar dan bentuk multipart, WhatsApp akan merespons dengan URL unduhan untuk file tersebut.
11. Semua informasi yang relevan untuk mengirim file sekarang dihasilkan, cukup buat proto dan kirimkan.

1. Dapatkan mediaKey dan decode dari Base64 jika perlu.
2. Perluas ke 112 byte menggunakan HKDF dengan info aplikasi spesifik tipe (lihat di bawah). Sebut nilai ini mediaKeyExpanded .
3. Split mediaKeyExpanded menjadi:
   • iv : mediaKeyExpanded[:16]
   • cipherKey : mediaKeyExpanded[16:48]
   • macKey : mediaKeyExpanded[48:80]
   • refKey : mediaKeyExpanded[80:] (tidak digunakan)
4. Unduh Data Media dari url dan pisahkan menjadi:
   • file : mediaData[:-10]
   • mac : mediaData[-10:]
5. Validasi data media dengan HMAC dengan menandatangani iv + file dengan macKey menggunakan SHA-256. Ingatlah bahwa mac terpotong hingga 10 byte, jadi Anda harus membandingkan hanya 10 byte pertama.
6. file dekripsi dengan AES-CBC menggunakan cipherKey dan iv , dan tidak terpadatinya. Perhatikan bahwa ini berarti bahwa kunci sesi Anda (yaitu encKey dan macKey dari bagian pembuatan kunci ) tidak perlu mendekripsi file media.

Bergantung pada jenis media, string literal di kolom kanan adalah nilai untuk parameter appInfo dari fungsi HKDF .

Prosedur penerusan pesan agak kompleks, karena ada beberapa lapisan websocke yang terlibat dalam proses tersebut. Untuk menambahkan perintah Anda sendiri, ikuti langkah -langkah ini.

1. Pertama, putuskan apa tujuan akhir perintah Anda. Agar konsisten dengan yang lain, harap awalkan dengan backend_ jika dimaksudkan untuk diterima oleh backend python atau menggunakan api_ jika perintah tersebut diarahkan ke API NodeJS.

2. Sekarang, lihat client/js/main.js . Di baris 214, Anda dapat melihat instantiasi kelas BootstrapStep JavaScript. Perlu informasi berikut:

   • websocket : mungkin selalu sama
   • request.type : umumnya harus call , karena ini memungkinkan respons untuk diteruskan kembali ke pengirim perintah
   • request.callArgs : Suatu objek yang harus berisi atribut command yang menentukan nama perintah Anda dan sebanyak mungkin pasangan kunci-nilai tambahan seperti yang Anda inginkan. Semua ini akan diteruskan ke penerima.
   • request.successCondition : Saat menerima respons untuk panggilan, ini akan menjadi fungsi yang kembali true ketika respons valid/diharapkan. Gunakan atribut berikutnya untuk menentukan kode untuk dieksekusi ketika responsnya valid.
   • request.successActor : Ketika kondisi keberhasilan dievaluasi ke true , fungsi aktor keberhasilan ini disebut

   Ketika objek BootstrapStep telah dibangun, hubungi .run() untuk menjalankan tanpa batas atau .run(timeout_ms) karena gagal ketika tidak ada respons yang diterima setelah batas waktu tertentu. Fungsi run mengembalikan janji.

3. Selanjutnya, edit index.js . Ini berisi beberapa blok yang dimulai dengan clientWebsocket.waitForMessage . Anda dapat menyalin salah satu blok ini dan mengedit parameter. Fungsi waitForMessage membutuhkan atribut berikut:

   • condition : Ketika pesan diterima dan kondisi ini mengevaluasi true di atasnya, pesan akan diproses dengan blok berikut .then(...)
   • keepWhenHit : Dimungkinkan bagi penangan pesan untuk dilepas segera setelah menerima pesan pas pertamanya. Kontrol ini di sini. then janji yang dikembalikan akhirnya menangani pesan yang diterima. Ini mendapat clientCallRequest yang dapat Anda hubungi .respond({...}) di untuk mengirim respons JSON ke penelepon. Jika API NodeJS bukan tujuan akhir pesan, Anda perlu membuat BootstrapStep baru di sini yang akan menghubungi backend Python dan, setelah menerima tanggapannya, akan mengembalikannya ke penelepon asli.

4. Jadi, ketika Anda menginginkan pesan untuk backend, sekarang edit backend/whatsapp-web-backend.py . Di if-else-compound mulai di baris 88, tambahkan cabang Anda sendiri untuk nama perintah yang Anda pilih. Kemudian, edit backend/whatsapp.py dan tambahkan fungsi yang mirip dengan generateQRCode di baris 223. Hanya menggunakan sesuatu seperti di getLoginInfo mungkin tidak cukup, karena perintah Anda mungkin memerlukan permintaan asinkron ke server web whatsapp. Dalam hal ini, pastikan untuk menambahkan entri ke self.messageQueue dengan tag pesan yang Anda pilih dan kirim pesan yang sesuai ke self.activeWs . Server akan menanggapi permintaan Anda dengan respons yang berisi tag yang sama, sehingga ini diselesaikan di baris 134. Pastikan untuk akhirnya memanggil pend["callback"]["func"]({...}) dengan objek JSON yang berisi data respons Anda untuk menyelesaikan panggilan balik.

Harap dicatat, versi ini tidak cukup stabil untuk digunakan dalam produksi.

docker build . -t whatsapp-web-reveng

docker run -p 2019:2019 -p 2018:2018 whatsapp-web-reveng

Ujung depan (klien) di: http: // localhost: 2018/

Alamat websockets yang digunakan adalah "localhost" secara default. Jika Anda ingin menggunakan Docker ini di server Anda sendiri dan membagikannya, ubah alamat WebSocket backend di ujung depan. client/js/main.js

 let backendInfo = {
    url : "ws://{{your-server-addr}}:2020" ,
    timeout : 10000
} ;

Front end (klien) at :: http: // {{your-server-addr}}: 2018/

• Semakin banyak kesalahan mulai terjadi dalam decoding pesan biner. Perbarui dokumentasi ini agar menyerupai perubahan, lalu terapkan.
• Izinkan pengiriman pesan juga. Tentu saja JSON mudah, tetapi menulis format pesan biner perlu mulai diperiksa.

• Izinkan kembali sesi setelah login yang berhasil. Mungkin cookie normal adalah yang terbaik untuk ini. Lihat #9 untuk detailnya.
• UI yang bukan teknis, melainkan mulai meniru WhatsApp Web UI yang sebenarnya.

• Izinkan penggunaan pada windows, yaitu sepenuhnya memperbaiki #16.

• Bagian penanganan simpul . Bisa menjadi sangat panjang.
• Outsourcing bagian dokumentasi yang berbeda ke dalam file mereka sendiri, mungkin ke cabang gh-pages .

Kode ini sama sekali tidak berafiliasi dengan, disahkan, dipelihara, disponsori, atau didukung oleh WhatsApp atau afiliasinya atau anak perusahaannya. Ini adalah perangkat lunak yang independen dan tidak resmi. Gunakan dengan risiko Anda sendiri.

Distribusi ini termasuk perangkat lunak kriptografi. Negara tempat Anda tinggal saat ini mungkin memiliki batasan pada impor, kepemilikan, penggunaan, dan/atau diekspor kembali ke negara lain, dari perangkat lunak enkripsi. Sebelum menggunakan perangkat lunak enkripsi apa pun, silakan periksa undang-undang, peraturan, dan kebijakan negara Anda tentang impor, kepemilikan, atau penggunaan, dan mengekspor kembali perangkat lunak enkripsi, untuk melihat apakah ini diizinkan. Lihat http://www.wassenaar.org/ untuk informasi lebih lanjut.

Departemen Perdagangan Pemerintah AS, Biro Industri dan Keamanan (BIS), telah mengklasifikasikan perangkat lunak ini sebagai Nomor Kontrol Komoditas Ekspor (ECCN) 5D002.C.1, yang mencakup perangkat lunak keamanan informasi menggunakan atau melakukan fungsi kriptografi dengan algoritma asimetris. Bentuk dan cara distribusi ini membuatnya memenuhi syarat untuk ekspor di bawah pengecualian Lisensi ENC Technology Software Unrestrict (TSU) (lihat Peraturan Administrasi Ekspor BIS, Bagian 740.13) untuk kode objek dan kode sumber.