记录小米手机NFC模拟加密门禁卡,以及Proxmark3的使用。
9 {: r; S; n' m" T
* w% y! q- o9 H/ Y/ h0. 缘起6 X, H# R/ B7 ~8 b4 h3 d
' _$ T% M8 k1 f之前,小区用的门禁卡为非加密的门禁卡,使用小米手机系统自带的门卡模拟功能复制即可。
- u6 b1 p; ?& E7 s* B. i% W7 h后来,小区门禁系统换了一家供应商,再使用之前的方法复制门禁卡,手机提示为加密卡,无法复制。
* G3 O' q6 v% w5 p: K% [1 O, Z0 z5 S# e5 J- M4 _
新的门禁系统,更安全了,也支持APP远程控制开门了,直到有一天门禁卡丢了,开始使用APP开门,发现这APP写得烂透了,十次有五次点击开门按钮无反应,需要反复退出、打开APP多次才能点击开门按钮成功,还有两次直接没了开门按钮,提示到物业管理处处理……6 U0 h5 |2 o( \; h& U: N: u5 _3 v3 ]
那个时候,我又开始怀念用手机刷门禁的快感了。。
9 a" [& k/ Y0 g `' G
% Z- O4 G7 @3 A7 e( O/ K0 g1. 基础知识8 |& J6 `5 \7 ~- P/ H: F0 ~2 ?
! }5 m- O+ e% e1 N' {1 i9 g
于是,我开始查阅资料,基本确定了小米手机是还是可以通过其它方式模拟加密门禁卡的。
+ ]3 D: u( v a: d然后,资料查多了,记不到,又怕以后用到需要重新找,干脆水一篇博客记录下来。7 x! G% l: c) i9 b% Q& @) Q+ d: h
如果熟悉NFC和IC卡,或者只想模拟加密门禁卡,并不关心原理,这章可以跳过,直接看下一章。9 B1 B& x1 C- Y# |
3 }" b: V9 q1 S, X, B6 |( H1.1 ID卡和IC卡
/ r2 c. p% ~) I. V1 \' D
( p0 t6 Z9 `& P! G! ]9 ~, d1 M. pID卡:全称身份识别卡(Identification Card),多为低频(125Khz),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。
- n ?: I! `$ [/ O
* x& r4 r% y$ ?; ^IC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。
0 K% |% u2 ^1 F
4 Q4 j H# B" B& e5 B, ?主要区别:
; T# t, Y3 H7 o ^) f5 ^: j% AID卡,低频,不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;8 w! O/ g5 L e0 r
IC卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等),IC卡所记录内容可反复擦写;* i4 q% R" e/ j4 I8 b- z0 s
& b) i6 R# X" J9 F" \+ ~6 q
IC卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;3 n7 U- M1 V/ s
[) o! S9 _& P h( V: e4 D) P: H5 W3 b* ?3 ?, h
: o) k8 i( u: P+ ?
5 U; `& n D% T1 B" f0 |0 F/ q
/ Y. R" D/ {& r' M' K& q
以上图片来自淘宝商家,网上找了半天相关资料,发现淘宝商家解释得最清楚。6 P# f1 P% [7 c
' _ o+ l0 [2 \
总结:
% w' b8 d7 [) d# S1.ID卡多为低频,IC多为高频;
; P5 m+ k/ H$ D# g8 v2.IC卡整体上看比ID卡更有优势,市面上使用的大多数也是IC卡;/ [! u8 P! V; S/ U+ y* m
3.对于矩形白卡,里面为矩形线圈、表面没有编号的多为IC卡,里面为圆形线圈、表面有编号的多为ID卡;( l$ ~8 c6 C0 A! o6 I* {& M( m0 Z
4.对于异形卡,有编号的多为ID卡,最好使用带NFC的手机进行测试(目前手机NFC只能读高频13.56Mhz),IC卡会有反应;6 `2 j0 J& \* ^" B
" F g* Y9 U O& [. M! [8 h' z$ d1.2 接触式和非接触式IC卡
. b" G. r2 E. I9 J# \. W8 {4 D ]" j" d- h
IC卡又可以分为接触式IC卡和非接触式IC卡。
" Y2 ~4 {+ z" S
+ S6 F b* E: [- m接触式IC卡:该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写;
4 K: t! v9 ~, @. e, h( A: `* K; d3 J# a$ a" d
非接触式IC卡:又称射频卡、感应式IC卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。
# Z. K( c, }" o( |: d4 G% C3 _4 \4 ]" D; M
两者比较好区分,直接看卡上有无金属触点即可。
- k+ g- M" O0 T" u! Y* p y; q' d4 D. m$ h; T* U: O/ x
2 {* ? ?3 t3 @7 h
! H1 t) K' u3 `1 k: e- t6 r1.3 RFID和NFC
; }; S0 P3 |! ?* E _4 q0 t9 t6 E6 ~& l: ?
非接触式的读写技术常见的有两种:RFID技术和NFC技术。) r* L7 Q. e+ y2 P
% E7 s; C a N! A* j6 O5 Q
RFID技术:, o7 g: a( Z, O5 D, C. p/ W
1.通常应用在生产,物流,跟踪和资产管理上;3 i& F1 H4 M; Y7 Q+ r. x
2.根据频率划分包含低频、高频(13.56MHz)、超高频、微波等; a8 D+ ]" h% d# Z- P9 n
3.作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;
0 y( F9 s: K3 [: |, w7 w$ v4.读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;$ \' G5 `+ J# U0 Y
. U7 a7 z: k) P; o1 |. }3 Z# r6 I( a eNFC技术:0 a; {! ]8 g! z0 b) P
1.通常应用在门禁,公交卡,手机支付等领域;4 z' G8 X! o7 Q4 M0 T: `6 \$ ~+ I
2.频率也是13.56MHz,且兼容大部分RFID高频相关标准(有些是不兼容);
6 v" J3 ?2 e9 F- s" r1 ?" l3.NFC作用距离较短,一般都是0~10厘米;
, {" C# F' o9 I& j( G4.读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;9 O' [. q9 M$ B2 J( K( T
L* C- x/ i$ c! h5 O
总体来说,NFC是RFID的子集,但NFC有些新特性又是RFID所不具备的。/ z3 k) @+ q$ l+ I* D
" d1 U* ~0 |) K8 [& P6 M1 o/ w
1.4 ID卡类型
+ K: `8 f5 ^/ I/ L, x n" a. ^: q6 z5 @; j3 w
ID卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:
' U; }8 p! j9 v( N; v# h
/ T3 v6 E( ]: cID卡3 U0 J$ Z2 E( w! w5 F4 N
EM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;
; x/ T/ V& `% o6 n* g! {3 A) q
# I m+ m. c" y7 V8 QID白卡
( E. W& V* V Q7 T$ ?& fEM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;! o8 o3 @( Z' F
T5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡
" J3 g/ y x1 e
) N$ E. a' `- q7 J6 Q7 aHID卡* I+ h( V4 Z1 O' P+ \* J
全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;
" b& s, q9 X" Q' B; f: ]3 B* H$ Q7 C' ] \" U4 U; H+ j
1.5 IC卡类型8 q: k2 o7 k% t1 x- n' E4 m% C
3 T" \2 F$ C% X6 u! I
IC卡中最常见的是NXP Mifare系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:4 ^9 m) K1 ^1 [ O0 M0 \6 x
. W3 Y# \. w" u1 H4 x7 k0 B' q1 C
M1卡
4 c- @, X( x; t5 K全称Mifare S50,是最常见的卡,出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡;
5 s' s% e) E$ F2 T7 A0 X) M
3 | _+ p1 V. W: b" G) ~M0卡
) q6 x. \1 r/ [2 {/ b4 {" E全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;常用于地铁卡,公交卡;
) h& ]4 o' Q' T. l7 X( p0 c2 e+ F5 h
以上两种固化了UID,为正规卡,接下来就是一些没有固化UID,即不正规的卡:* T7 M }( q5 Y! \0 Q* q/ q
3 a0 W1 g3 ]1 B: ?- f k
UID卡
( P1 ~6 n& }$ c S. w* X8 a8 w, `全称Mifare UID Chinese magic card,国外叫做中国魔术卡,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;4 |" n- V" ]. u; t9 P" m
但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);
9 _( p, }3 y" ~6 X7 c) t6 k6 v% d0 K* M H/ _9 g
CUID卡
2 b1 \. O$ l3 P为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;
3 i0 y5 v9 J4 o! c& }5 v [近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天CUID卡会和UID卡一样面临着淘汰;
2 L( S1 W; t# |- y! ]
; p$ ?6 w. P2 k( zFUID卡
) l9 N/ S) h, D, H4 SFUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;0 h/ ~8 O3 G3 r( ~: [6 T- E5 @
但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
! d, Y I" P% f6 ?/ i
( U5 l4 E+ B' ?2 ?% H5 e, xUFUID卡# L k2 R3 ~& u# {- C0 H* `
集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。' I* d7 e" i% |: h
可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;
2 }- E, B8 \- K- }( M u7 U: E; r: L V8 F
判断是M0卡(Mifare UltraLight),还是M1卡(Mifare Classic 1k),可以通过SAK值判断。. A `9 `" [5 y3 S( l: V1 d$ |
4 B% {9 A$ M& H* c! W% U# T( g产品ATQASAKUID长度Mifare Mini00 04094 bytesMifare Classic 1k00 04084 bytesMifare Classic 4k00 02184 bytesMifare Ultraligh00 44007 bytesMifare Plus00 44207 bytes
* d: y3 |' r8 J4 G! O6 m. d2 c% u5 x/ c
1.6 IC卡详细分析7 {$ m+ n6 E) p4 k9 C! |7 O
# h% E' J1 B1 a- l2 W
1.6.1 IC卡存储器结构
$ q: Y e9 F ^8 o/ y' U* P9 s9 F
' m0 w6 ]/ N/ K3 z! q9 F以M1卡为例,介绍IC卡数据结构。9 ]7 Z: A0 h) Y3 L I8 N
M1卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;
" g- ]1 e S6 x$ [& V每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;0 Q4 {* m0 H" O& A9 ]+ P" E# R* @/ N
" e9 G4 G% w( T2 \( J4 L) S

) b. A& k( d% D+ r( @6 `) I& U, {9 F" Z A' o' U
厂商段
9 P" m: S4 ~, l X" N% K/ {每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。6 j4 F9 K0 D Z$ [
其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,剩下的是厂商数据。# Q& k1 q; z* i) O6 |, N
并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。
4 q$ U4 T/ c) _
, d) {: O4 W: y% x7 }: L+ J* E# P B9 l0 f$ B$ S
0 Q2 B' P" o5 r" k/ _数据段* w+ u, {/ i. _- _$ R; E
除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。- F0 V/ F# D" w w) x
数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。* A! ^: B7 [% @& R3 e, |# C
值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复,值段格式如下:
( |2 o3 d8 a) i. N. z7 A0 F
# Z' o' R7 c. a6 o+ Q$ e) a* V* H+ S( P& }) b8 L
2 x' b) ~" O# |* a* F9 p# a& j) CValue表示一个带符号4字节值,为了保证数据的正确性和保密性,值被保存了3次,两次直接保存,一次取反保存。该值先保存在0字节-3字节中,然后将取反的字节保存在4字节-7字节中,还保存了一次在8字节-11字节中。9 x9 V% V7 q4 z( \
Adr表示一个字节的地址,当执行备份管理时用于保存存储段的地址。地址字节保存了4次,取反和不取反各保存了2次。在执行加值、减值、恢复和传送等操作时,地址保持不变,它只能通过写命令改变。
6 s% ?. K& S( A1 s) O& r2 s
1 r/ [0 U' a$ \ \; ^控制段1 w% v# G5 |) v) L+ I2 p* u
每个扇区都有一个区尾控制段,它包括密钥A和密钥B(可选),以及本扇区四个段的访问控制位 (Access bits);访问控制位也可用于指出数据段的类型(为读/写段还是值段);控制段的存储格式如下:$ h) Q3 i; T5 ?: `9 i
! c9 Z1 C; v% J

6 e' c' r) q: Z; K# v/ [, [' Y. I" x' q6 p$ \2 V9 o+ X& M8 i3 p% c
如果不需要密钥B,那么区尾的最后6个字节可以作为数据字节,用户数据可以存储在区尾的第9个字节,这个字节具有和字节6、7、8一样的访问权限。; q4 R/ N; q" ~2 m
# S' @( w! D g1.6.2 IC卡访问存储器0 O$ Y, w" _; t) o0 D
8 _& j; W) _$ s' R数据段支持的操作
$ t3 z1 m: M! P根据使用的密钥和相应区尾访问条件的不同,数据段所支持的存储器操作也不同,存储器的操作类型如下:
) h8 Y; U" \, e8 a9 n9 g p
6 u2 @( o: K4 X& h4 X. B+ O4 Z4 P$ n9 b- a; R; V
0 ?7 r) H3 K1 t# l可以看到只有作为值段时,才能加、减、传送、恢复。1 g* l V" o2 O; O
" o! a1 A, D) F: `8 A- Q; u5 A" p各区的访问位定义
0 s+ V+ X8 w8 K1 M+ k. A$ z# s+ e7 F每个数据段和区尾的访问条件由3个位来定义,它们以取反和不取反的形式保存在区尾指定字节中。/ U0 K- d. p7 b3 [4 l1 x. g* M) R% p
访问位控制了使用密钥A和B操作存储器的权限,当知道相关的密钥和当前的访问控制条件时,可以修改访问条件,各区的访问位定义如下:$ E- Q# L5 P& I' K y6 g7 Q
( M9 i1 E5 G2 x- S, x \9 G
7 I+ y0 b7 s* I4 _% y
' X2 K$ [1 j' J, M2 H$ ^7 u5 {访问位在区尾的存储形式$ j' H7 D1 K6 P& t+ Q9 m' e5 n7 m
. t' X4 I* d+ r. \

0 C. z, i/ v0 T# E# Z+ o
0 Z# C2 v8 \5 h! N/ ]区尾的访问条件
) g2 U% V, b: F- |2 a根据区尾(段 3)访问位的不同,访问条件可分为 “从不”、“密钥A”、“密钥B” 或“密钥A|B”(密钥A或密钥B),区尾的访问条件如下:
! z" \# q2 w! J% d2 ?+ ~
p! s. P: F( _6 h( ?) m& _" o9 O2 K# M: g' |6 V
2 S" ?' w- ?% {: W8 D# [
用灰色标明的行是密钥B可被读的访问条件,此时密钥B可以存放数据。: q/ N" V' l, D, J. l z/ K* @
例如:当段3的访问条件C13C23C33=100时,表示:密钥 不可读(隐藏),验证密钥B正确后,可写(或更改);访问控制位在验证密钥A或密钥B正确后,可读不可写(写保护);密钥B不可读,在验证密钥 B 正确后可写;
* d% H& L7 \+ \& A又如:当段3的访问条件C13C23C33=110或者111时,除访问控制位需要在验证密钥A或密钥B正确后可读外,其他如访问控制位的改写,密钥 A,密钥 B 的读写权限均被锁死而无法访问;
7 ]" p# {* c; ^' H6 q3 ?% g
6 y& C: R0 Y, V, \数据段的访问条件% X1 b/ }/ s, l
根据数据段(段 0-2 访问位的不同,访问条件可分为 “从不”、“密钥A ”、“密钥B ” 或“密钥A|B”(密钥A或密钥B)。* m; Y: v1 B$ w0 {7 _0 }% u
相关访问位的设置定义了该段的应用(或者说数据段类型)以及所支持的应用命令,不同的数据段类型可以进行不同的访问操作。 读/写段可以进行读操作和写操作。值段可以进行加、减、传送和恢复的值操作。
# C3 C8 P9 q/ u& s' M其中一种情况中(001)只能对不可再充电的卡进行读操作和减操作,另一种情况中(110)使用密钥B可以再充电。 厂商段无论设置任何的访问位都只是只读的, 数据段的访问条件如下:
8 n; p1 n; c4 V1 c4 S5 w# @- q6 C3 f, U2 p7 ~( _

% P# v) Q M- @
" z( V/ ^- H1 }如果密钥B可以在相应的区尾被读出,它就不能用于确认(在前面所有表中的灰色行)。如果读卡器要用这些(带灰色标记的)访问条件的密钥B确认任何段,卡会在确认后拒绝任何存储器访问操作。
6 G/ c( x+ Q3 |9 {
5 E, l: Q) C( l" ~' H: I* A% X1.6.3 举例说明6 H0 U. x3 X. {6 e) n- I
8 A/ y n1 B! s# B. ~! L
Mifare S50出厂时,访问控制字节(字节6-字节9)被初始化为“FF 07 80 69”,KEY A和KEY B的默认值为“FF FF FF FF FF FF” ;
X$ Z+ J: |8 F* b. y字节6为FF,二进制为1111111;字节7为07,二进制为00000111;字节8为80,二进制为10000000,如下:
" d- d5 h q, O: u3 k- ?+ _+ \: v* P3 j. b8 t8 K8 ]5 i

5 W; T* G o1 d2 @6 A. R; \- X
; O, p6 r& k0 v3 ^* M8 x对照前面的访问位在区尾的存储形式图,可得知访问控制位为:
7 ~5 x q0 D& \+ x* A8 _C10C20C30=000;C11C21C31=000;C12C22C32=000;C13C23C33=001。$ B. k3 D9 u7 b0 V" w# d
' W. j) K3 }+ S. q6 J3 i6 Z3 m
C10C20C30、C11C21C31、C12C22C32对应数据段0、1、2,参考数据段的访问条件图即可得知该段三个数据区的访问权限;- f' [. d, D1 h, b2 }! s. Y
C13C23C33对应区尾(段 3),参考区尾的访问条件图即可得知该段的访问权限;# I5 j% E) H3 n
, w; s( }, S( w& C3 C
块0控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
4 ?1 s% p& J' u' E块1控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;' a0 }4 C9 x& M6 C8 s( l
块2控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
, G" `$ y. d* A% x. r块3控制位为:0 0 1 权限为:A密码不可读,验证A或者B密码后可改写A密码;验证A或者B密码后,可读可改写存取控制;验证A密码或者B密码后,可读可改写B密码;; w) b6 B/ ?) f0 t# b2 i0 h
- a# `1 q: R; G3 S
这样每次换算还是有点麻烦,可以使用M1 S50卡控制字节生成工具快速换算:# M" K. |3 ?& r8 S8 L/ q) [/ j- Z
# r* D$ w( n- j8 F3 `3 v
' r3 `- v$ u9 M2 D* M3 _2 z" D/ [* {* g
最下面一行可以输入想解释的控制字,也可以根据上面的设置生成控制字;
! r5 t: R. e) L# |! \" Z( m最上面一行,左边是数据段0、1、2的访问控制位,右边是对应权限所需要的秘钥;3 a1 i% A H, J# O# y4 N4 D
中间的一行,左边是区尾的访问控制位,右边是对应权限所需要的秘钥;
) V* l7 Q8 T) o7 y j
4 V/ d9 S! L' I% L: W* l# X; S1.7 非加密IC卡和加密IC卡
& {) O! q3 o4 [. b2 |1 R
0 N; C9 |& ~0 ]非加密IC卡和加密IC卡的区别就是,非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;) f( ~' b7 P# D2 D
而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。" b8 g; H1 A* o+ W) z% J
, i8 S3 \+ c/ G s4 U8 R
一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如Proxmark3读取。/ i3 `+ `! e( l5 j. u P4 W6 N( T
. |7 E# ~7 l+ F' s7 f
对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。, [" ~4 b; x4 Y; `, ]9 Y- ]' h
因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都有服务器定期校验,得先搞定服务器再说,难度高还违法。- `2 p1 N# q: O$ E- n. E% o3 B
/ B% I) S" Q' ]. z2 N2 Y/ y参考资料:9 U0 Z k3 W z- q' C2 y
码农生活 篇二:IC卡门卡模拟探秘
4 Q8 u& E' v5 aIC卡简介【M1/S50,UID,CUID,FUID,UFUID复制卡介绍】
u" c4 G8 e; K; R* t谈谈 Mifare Classic 破解
7 l% B o# H P3 B- t. u! srfid-practice2 Y, S' b. D9 f9 p
Type A 卡存储结构与通信
) e1 G) a: n* J) GProxmark3 Easy破解门禁卡学习过程" y0 L- C5 B( w; K4 a& {
. {1 E/ z) B6 ?3 K2. 手机NFC模拟加密门禁卡5 t! S* f" q. E% }$ H
7 |- d( ?& g4 m" I有了前面的知识,再来看现在我的加密门禁卡情况,手机能识别为加密卡,肯定是IC卡。, d- @5 U Z- ~9 j* l2 R
8 ^$ B$ X- X& ~* y4 d; d首先,加密卡在目前这个情况下是无法解密的,如果按照下面的操作失败,请参考下一章。
) ^/ y6 K4 ?- z0 a. ~7 j# ]部分门禁系统只认证IC卡的UID,利用这一情况,可以试试复制门禁卡的UID,看运气能否打开门。
* n2 d! X2 Z( t I
$ {1 W1 w6 P9 T- D% G, c. x( C' M在已root的情况下,直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。
" q4 C/ Y6 B2 }! |在未root的情况下,使用小米系统自带的门卡模拟功能,出于安全考虑,是不能对加密卡进行任何操作。手机的NFC,理论上可以读加密IC卡的UID,因此可以使用第三方软件MifareClassicTool读取UID,因为没有root,不能写手机NFC,但可以写IC卡,因此还需要一张CUID卡(不能使用UID卡),某宝上一块多一张,思路就是先读取加密卡的UID,再读取CUID卡的数据,然后将CUID卡的UID改为加密卡一样的UID,再将修改后的数据写回到CUID卡,最后用小米系统自带的门卡模拟功能,复制未加密的CUID卡即可。
+ E. S- Y8 ^* Q! b t8 e
" }. v; y0 Z& n$ A4 B1.读取加密卡的UID
- Y3 I$ ?$ U" P$ y打开软件Mifare Classic Tool,将加密门禁卡放到手机的NFC感应区域,识别到IC卡后,点击“工具”->“显示标签信息”,可以看到加密门禁卡的8个数字,4字节的UID。
( ]3 V. w! l& ?, A2 ~. l, `注意,在16进制里,每个数字为4位(2^4=16),8位(bits)为一字节(bytes),即两个数字组成一字节,这里8个数字,即为4字节(Bytes)。/ _& A$ s; c* l6 P5 f+ q
前8个数字,每个数字代表4位,8位为一字节,8个数字就是32位,即4字节# U+ j& L1 b$ j( h1 K0 a2 K
接着打开“工具”->“BCC计算器”,输入UID,得到1位BBC(两个数字)校验数据。
1 X; B1 L9 m7 }- b2 v6 o1 v( u% m* E3 n- c
; q5 a" _! D4 m5 t: |' g
8 g* z4 o2 s2 ^( X( I2.读取CUID卡数据
! }5 P( V0 n7 W* z$ O& d$ E将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“读标签”->“启动映射并读取标签”,即可得到CUID白卡的所有信息。8 Y, C# l' w* e; Z" P
接着修改第一行的前10个数字,改为加密门禁卡的UID(8个数字)和BCC(2个数字),一共10个数字,并点右上角保存图标保存。/ I8 h& l+ f7 N1 h' r, t: v
. c* S% T" V2 M9 D: _
5 Y- w" p. u/ |! r: L
4 [+ G2 L( b, S! K3.写数据到CUID卡
+ S- ]5 t( Z: s7 _) k- k再将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“写标签”,勾选“写转储(克隆)”->“显示选项”->“高级:使能厂商块写入”。
5 Y: t2 O( z0 J$ ?: l' V# F) V再点击“选择转储”,选择刚才保存的数据,点击“选择转储”。7 u% {2 h+ y6 H
0 Q; K, t" |+ N b$ s
 \- [- X/ |) A, X
$ k% u' n( {9 \' _% D b: S在弹出的选择写扇区界面,默认即可,点击“好的”,最后点击“启动映射并写转储数据”。
' Y+ ^# j. p* k+ ^) z
9 U7 l$ K; T/ o i6 x8 w" X/ s& E/ l& s& W" J
0 t' R# e2 t F8 ]5 H4.NFC手机复制CUID卡$ T, U' Z1 D& o4 D9 o; e4 w: P
最后,使用小米手机系统自带的门卡模拟功能,复制刚才写入新UID的CUID卡即可。* V4 G3 D! k+ f$ o/ R
9 u, n6 Y: D: k: u- Q4 `1 G接着,就看运气吧,我小区的门禁系统就只认UID,搞定。3 ?0 k4 B+ i w E* F7 [2 ?. p( i
4 m7 [, i# P2 |* {. h1 [3 M* t, P% o9 m8 ~
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
