记录小米手机NFC模拟加密门禁卡,以及Proxmark3的使用。3 @) X& R1 T" j" Q* ?
* q) e+ ^* c* E- ~# S0. 缘起8 Q, p& |, U# n% n# y
% j# l% \- T# Z$ G% f3 s9 o
之前,小区用的门禁卡为非加密的门禁卡,使用小米手机系统自带的门卡模拟功能复制即可。
# o' N! w# [6 Q& S后来,小区门禁系统换了一家供应商,再使用之前的方法复制门禁卡,手机提示为加密卡,无法复制。/ V# \4 g& ~# [$ G
3 D: \# D. `3 N
新的门禁系统,更安全了,也支持APP远程控制开门了,直到有一天门禁卡丢了,开始使用APP开门,发现这APP写得烂透了,十次有五次点击开门按钮无反应,需要反复退出、打开APP多次才能点击开门按钮成功,还有两次直接没了开门按钮,提示到物业管理处处理……
% {& L$ X @% h5 ?7 Q) x那个时候,我又开始怀念用手机刷门禁的快感了。。
% D; D( @: @& C n5 p
7 H1 ?1 B3 Y! y, Q }, `" S$ c1. 基础知识
_7 B- j5 W" v/ d: {: l5 t r8 |; Y8 T3 D$ } B% Y
于是,我开始查阅资料,基本确定了小米手机是还是可以通过其它方式模拟加密门禁卡的。
, n& R9 L, |! ]" ~, l8 w( }然后,资料查多了,记不到,又怕以后用到需要重新找,干脆水一篇博客记录下来。# K* J: h2 |/ I
如果熟悉NFC和IC卡,或者只想模拟加密门禁卡,并不关心原理,这章可以跳过,直接看下一章。
5 |( G3 F0 `% c9 y5 ?
. ~5 T" b' A; ^( z9 ^) B5 E# F1.1 ID卡和IC卡
u% y* J/ M8 @% _8 v6 s2 p
; b! } c& X' i- `6 K1 DID卡:全称身份识别卡(Identification Card),多为低频(125Khz),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。0 B8 D N# `8 _* ^; i
: Q% e7 H ]& r rIC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。: w/ s/ k0 x4 B& v- X3 h8 ^
& q% ^9 Z" C1 c. x9 d
主要区别:
9 ~: ?7 c* a) Q: Z7 H( ]; {ID卡,低频,不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;
) ]& L- s9 d) G. S3 w) wIC卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等),IC卡所记录内容可反复擦写;& q: w$ ~# N# A. w
$ f2 }: F$ ^2 G: d* q cIC卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;4 L7 v: _- P' _% d: D
) a' |: P# \5 G3 c
8 }) D' J# ~8 T* k8 O% i* K1 x; r4 \9 i/ j6 H# e6 @6 E

7 Y* L6 H2 l, }$ L4 S4 Y2 M: z
: Z& ?7 d/ J( N0 q以上图片来自淘宝商家,网上找了半天相关资料,发现淘宝商家解释得最清楚。, s. s# M* D; j/ k/ Z5 y7 S$ D
; n( x3 C' C- b% D. P$ t# B: x
总结:) `+ ]" |! Q. |: o# |* p2 z3 i
1.ID卡多为低频,IC多为高频;
, N' V6 L- M4 v& P6 n2.IC卡整体上看比ID卡更有优势,市面上使用的大多数也是IC卡;% Y5 Q- a& A8 {0 e, z/ U8 h
3.对于矩形白卡,里面为矩形线圈、表面没有编号的多为IC卡,里面为圆形线圈、表面有编号的多为ID卡;9 p- l: w1 w. Q
4.对于异形卡,有编号的多为ID卡,最好使用带NFC的手机进行测试(目前手机NFC只能读高频13.56Mhz),IC卡会有反应;
2 H6 A& R" T u. v k
1 E0 j% j( u, K# g" w1 K1.2 接触式和非接触式IC卡
* [! ^. W; R! s) x4 s: d$ T( ~0 N1 z N2 Q5 `
IC卡又可以分为接触式IC卡和非接触式IC卡。
9 s3 K" }" ?4 ]$ O1 q3 P/ F' v5 K8 Q$ r& v; k; Q2 O
接触式IC卡:该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写;+ [7 U+ V5 I3 ]! D
) j' f* \1 s4 M非接触式IC卡:又称射频卡、感应式IC卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。
0 E) c7 ~! ^$ ]2 f! n: r4 _. ]& X" _" a" H$ I1 t7 ^- ?1 x5 x, A
两者比较好区分,直接看卡上有无金属触点即可。0 ]* G5 v+ E! ^- `
% `5 g1 O% J2 T/ r) C s2 p$ D3 t

0 e0 E. f+ x- r' k9 U! v! g. L: F9 R: n, Z' g$ g! D
1.3 RFID和NFC
, ~* l% }7 K9 D! Z- M
3 r9 e- i% Y4 }5 S: J0 o非接触式的读写技术常见的有两种:RFID技术和NFC技术。
# e$ p5 }7 S$ o8 h9 ^2 E- G$ c5 I+ W; y, I
RFID技术:: `- ~ B$ N8 O' l
1.通常应用在生产,物流,跟踪和资产管理上;
4 `$ O/ b6 \ p' o+ b2 h2 B; L2.根据频率划分包含低频、高频(13.56MHz)、超高频、微波等;
( V# _, D6 ^3 F/ Y9 p& R/ A& q3.作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;
1 ~( ]. x- r" I- n" r( B4.读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;
7 r2 L) A2 y' v, }. v0 j: K4 G |. u9 `5 a) v x2 P' H
NFC技术:+ F, H3 \! b! I" ]" ^* ~0 R% ]
1.通常应用在门禁,公交卡,手机支付等领域;
1 m) w4 o# D" T5 b# q; c; b2.频率也是13.56MHz,且兼容大部分RFID高频相关标准(有些是不兼容);8 D2 n+ y. i3 a8 y7 p4 D
3.NFC作用距离较短,一般都是0~10厘米;" T0 i( ]6 K! g% U+ q. G) p- {% o! ]
4.读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;+ l3 a* c7 ~. A- e' F
3 e1 j/ u& P# D+ i总体来说,NFC是RFID的子集,但NFC有些新特性又是RFID所不具备的。
5 @/ \& R+ w, ?. x$ z( k# p: H% _# I" {! s0 {" M
1.4 ID卡类型( t4 G$ D3 } {6 p
3 J; V% g9 u) [3 M6 k* |7 L
ID卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:
4 h2 g. R8 ?0 ]) b. ~6 n3 c7 c9 B/ I+ o$ I* n3 k0 x- F$ E! m
ID卡3 Z+ P' l9 z S6 ^! q
EM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;
" S7 h% @) f1 _3 O$ \, C% {% X3 y% H3 Y) A: {+ \8 L J
ID白卡, `5 n) A6 b! u* r1 P
EM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;
7 {: c# |+ P/ ~4 U; v& QT5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡
5 P: O! k, F8 q# h& b- O# l# g
! ]3 Y0 L# g! i* K# x3 \HID卡
2 G( C1 [ G: `+ u2 _0 G+ g+ z- @全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;7 d. {4 z8 s6 q
! S$ Y9 S3 S8 p$ \' ], h; ]6 }1.5 IC卡类型) V9 n, c9 T- g' j- y1 K3 v" [
/ o. q& G, o7 R4 }, }) N
IC卡中最常见的是NXP Mifare系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:
$ V/ B" S6 s8 E4 b$ _/ r9 |2 Y2 i* l$ E: i4 `
M1卡- I' U% z; I7 b6 Z
全称Mifare S50,是最常见的卡,出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡;
' {( y4 A, B( Q$ |% ^$ A. h" M$ A" d% b" q6 _- S( C3 v+ V' r
M0卡
4 U; y( f+ Z1 _' U- l/ @/ A全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;常用于地铁卡,公交卡;" Z1 b7 c, ]4 z Q% D* W
0 t: P" X% v+ b6 B以上两种固化了UID,为正规卡,接下来就是一些没有固化UID,即不正规的卡:' I* i- r: x# k, r( u/ K3 v0 j$ W
' G4 x3 K: o% L; t
UID卡9 j" D. g' Q& j
全称Mifare UID Chinese magic card,国外叫做中国魔术卡,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;5 l/ t: u8 U9 a3 T1 S( n
但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);
8 g% u/ u5 V; O5 n' f3 [ g2 H7 c( u& [
CUID卡1 Z6 U Z z) W( s7 d
为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;/ p4 o8 s7 j- N6 G2 M2 B
近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天CUID卡会和UID卡一样面临着淘汰;3 \6 U$ P/ B6 |* K( z* |) T
+ p& \' I' c% W/ a+ v- p* l( q5 `FUID卡3 S5 \- F* n" c" p7 q, k4 t
FUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;
; r1 M3 s& ?( J0 ]( N2 _但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
# W2 f1 i' {6 i
' \, P* K* f y. gUFUID卡
" E; m o) B; N6 }# z! D集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。
) X1 w0 A" O$ o C$ | z% C可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;% r# q. F( }* w) F+ F/ t0 L
+ k% V! T, r& b! _7 o判断是M0卡(Mifare UltraLight),还是M1卡(Mifare Classic 1k),可以通过SAK值判断。
- z6 G% Y6 s% `7 p+ w o
& A, h1 G! y0 b# h产品ATQASAKUID长度Mifare Mini00 04094 bytesMifare Classic 1k00 04084 bytesMifare Classic 4k00 02184 bytesMifare Ultraligh00 44007 bytesMifare Plus00 44207 bytes" i! S( J! `! ?) o) {
- R) E8 x O% H8 P1.6 IC卡详细分析
" Q. U8 ^8 t8 E2 W1 ]9 d5 ]9 x$ `; c- u0 j7 j9 s$ ?4 }
1.6.1 IC卡存储器结构
" u2 L: e6 n& ^& r( U2 u5 K
2 I' t3 U' U) z2 w. ]. k以M1卡为例,介绍IC卡数据结构。! o( f& |" q& b' O. E8 J/ o& C
M1卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;
, P% ^/ N4 X! }; K$ S% D9 {# d; W每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;
# a2 E j6 X' h h$ F4 L1 v8 b' {9 f3 a
7 M8 I6 X; E6 L1 }5 o
6 V1 z3 r+ A: t7 i
厂商段
& H* r/ _9 b& s+ |- n每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。4 L/ G8 q' E5 Y* s: m( U% q- t
其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,剩下的是厂商数据。/ B" B9 J8 [" R$ P1 ^
并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。
+ I3 h* F/ ^! J5 A% C5 t9 c# @9 t1 F& a1 x! H! {
9 t' i5 j( P7 Q5 y8 ^
, b$ r8 E) o, S* X* x( M数据段
$ \* K Y) x" k% J; t8 @' P: b除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。 U/ C: G' N( E7 F
数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。: o, ^9 P: L2 ~ Y8 p9 d
值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复,值段格式如下: W8 k8 K% m% _3 ]3 |' T
' A0 U: A4 v8 M f1 G3 A0 b' ` V% Q! r( h/ c& k' H* a
9 b/ g& |) E+ O! D7 k, W
Value表示一个带符号4字节值,为了保证数据的正确性和保密性,值被保存了3次,两次直接保存,一次取反保存。该值先保存在0字节-3字节中,然后将取反的字节保存在4字节-7字节中,还保存了一次在8字节-11字节中。1 Q" n) t% j# F- I0 R' _; l9 ~
Adr表示一个字节的地址,当执行备份管理时用于保存存储段的地址。地址字节保存了4次,取反和不取反各保存了2次。在执行加值、减值、恢复和传送等操作时,地址保持不变,它只能通过写命令改变。* L% d' _. k9 [. [) U7 M
5 z) |6 C5 c! F, o2 i控制段
# f( R8 Z3 e5 @7 D5 m6 z每个扇区都有一个区尾控制段,它包括密钥A和密钥B(可选),以及本扇区四个段的访问控制位 (Access bits);访问控制位也可用于指出数据段的类型(为读/写段还是值段);控制段的存储格式如下:3 g3 Q$ P3 y2 s9 G+ ^( T) p1 a
, V5 C1 M- w% u3 K* j
, N7 O% A S! i$ A/ n; y: q" Z
$ s! f* w* D, y$ V# _, H3 A
如果不需要密钥B,那么区尾的最后6个字节可以作为数据字节,用户数据可以存储在区尾的第9个字节,这个字节具有和字节6、7、8一样的访问权限。/ ]4 Q* M& H2 }: ?
# u* a. K4 c w+ M" P1.6.2 IC卡访问存储器# `4 d7 Y# k* B/ e. ^/ @( M! B
2 T. T" V7 ~' `" M% }7 h
数据段支持的操作: r# [' B5 v( ]
根据使用的密钥和相应区尾访问条件的不同,数据段所支持的存储器操作也不同,存储器的操作类型如下:
" w& F, S) m, s, ]) _- {" k) R
& z' f5 P" z) _2 J( j# Z# V' i- M
/ E4 ^6 e2 p" I/ f; v1 B$ s- h0 s% Y
可以看到只有作为值段时,才能加、减、传送、恢复。
. F! W9 o7 {4 L7 }( q6 M, g( O4 p
' m4 \# I5 Y) J) K, v9 M% T' Y: I各区的访问位定义, E- O( k# ^! G7 C
每个数据段和区尾的访问条件由3个位来定义,它们以取反和不取反的形式保存在区尾指定字节中。- v8 g: E9 l& i# W
访问位控制了使用密钥A和B操作存储器的权限,当知道相关的密钥和当前的访问控制条件时,可以修改访问条件,各区的访问位定义如下:5 `" H& E7 a+ X7 P! g; d6 U( D
: E9 J" H6 K3 s1 Z* R
% O) M2 Z; l9 r: l# D1 Z
) X# p/ |+ i* `, }% t) _! `$ z访问位在区尾的存储形式; f. o' `9 C. k! ?! C8 L3 q5 |7 A
! N1 N1 O* z3 W3 l) R" L7 w4 F3 w/ e v
8 Y4 o% |( M- L7 r. b3 e
区尾的访问条件
- ]1 y' _2 [5 ~; X9 m: D根据区尾(段 3)访问位的不同,访问条件可分为 “从不”、“密钥A”、“密钥B” 或“密钥A|B”(密钥A或密钥B),区尾的访问条件如下:
# {7 _5 {# x. V9 K
7 j7 p! e7 c7 D
% w& i. U8 g6 L2 v9 w5 s- G+ l+ A+ t6 ?& b
用灰色标明的行是密钥B可被读的访问条件,此时密钥B可以存放数据。; h. c* H; }; m2 @$ b3 A I* `
例如:当段3的访问条件C13C23C33=100时,表示:密钥 不可读(隐藏),验证密钥B正确后,可写(或更改);访问控制位在验证密钥A或密钥B正确后,可读不可写(写保护);密钥B不可读,在验证密钥 B 正确后可写;. J7 r2 W- F3 O3 `
又如:当段3的访问条件C13C23C33=110或者111时,除访问控制位需要在验证密钥A或密钥B正确后可读外,其他如访问控制位的改写,密钥 A,密钥 B 的读写权限均被锁死而无法访问;
6 y1 \4 J+ U, a9 ^+ h
9 {+ }+ X7 T; \7 G: R* e6 W数据段的访问条件
& \/ e, f8 A( E! X% B1 q根据数据段(段 0-2 访问位的不同,访问条件可分为 “从不”、“密钥A ”、“密钥B ” 或“密钥A|B”(密钥A或密钥B)。
3 p9 t5 I* ?' e5 h4 B& U% t' c. W相关访问位的设置定义了该段的应用(或者说数据段类型)以及所支持的应用命令,不同的数据段类型可以进行不同的访问操作。 读/写段可以进行读操作和写操作。值段可以进行加、减、传送和恢复的值操作。
" d+ g% _9 E) \其中一种情况中(001)只能对不可再充电的卡进行读操作和减操作,另一种情况中(110)使用密钥B可以再充电。 厂商段无论设置任何的访问位都只是只读的, 数据段的访问条件如下:6 O0 h" h7 u4 Y! i* x; P
; }9 a0 Y8 W7 D

( g% I4 o; g8 z f" w" ~( O/ j' A. b
, S L8 t P( N+ ~如果密钥B可以在相应的区尾被读出,它就不能用于确认(在前面所有表中的灰色行)。如果读卡器要用这些(带灰色标记的)访问条件的密钥B确认任何段,卡会在确认后拒绝任何存储器访问操作。
2 q) U" g) r4 V* l& b5 j) e5 x
1.6.3 举例说明" w7 R4 w8 u9 y9 b
% |7 \0 L5 z; n$ cMifare S50出厂时,访问控制字节(字节6-字节9)被初始化为“FF 07 80 69”,KEY A和KEY B的默认值为“FF FF FF FF FF FF” ;
! y3 E. l5 j! h' b' s1 n' n字节6为FF,二进制为1111111;字节7为07,二进制为00000111;字节8为80,二进制为10000000,如下:8 r$ m; c$ r& V7 h) \
% ]- c% v( @+ Q# o6 i7 {

! h' S- h s; G, T
' c5 d6 ?* G4 V: Y对照前面的访问位在区尾的存储形式图,可得知访问控制位为:
; X/ ]' ^: `0 ?1 a, f) tC10C20C30=000;C11C21C31=000;C12C22C32=000;C13C23C33=001。 A' P& T* \: c
2 ?5 k4 @2 L! VC10C20C30、C11C21C31、C12C22C32对应数据段0、1、2,参考数据段的访问条件图即可得知该段三个数据区的访问权限;
1 l% T0 ]9 X! P; C" A& iC13C23C33对应区尾(段 3),参考区尾的访问条件图即可得知该段的访问权限;7 m3 H/ H+ X u. e2 j
, u h6 L; A# \, [7 t' D: C5 ?
块0控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;0 ]& c+ c& O6 Y J: p" R! Q
块1控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
% J5 v0 [) I3 ~0 K3 q块2控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;4 O# p2 N# Q$ ^5 ~- H
块3控制位为:0 0 1 权限为:A密码不可读,验证A或者B密码后可改写A密码;验证A或者B密码后,可读可改写存取控制;验证A密码或者B密码后,可读可改写B密码;% k9 [) N0 g( K, U1 U6 L4 n
" F5 [+ M' y2 j1 z- u0 |9 j" N这样每次换算还是有点麻烦,可以使用M1 S50卡控制字节生成工具快速换算:
( e, w# @$ r' b$ G
3 K3 O d4 C( r0 P8 T" j
$ q( q. ?; l, a0 S3 X' ^. y. G7 \/ e( K( z! I$ G. M
最下面一行可以输入想解释的控制字,也可以根据上面的设置生成控制字;" q, A, `1 y* z5 ^! |
最上面一行,左边是数据段0、1、2的访问控制位,右边是对应权限所需要的秘钥;9 n2 J* D9 i5 r
中间的一行,左边是区尾的访问控制位,右边是对应权限所需要的秘钥;
0 \. g- B1 O* r+ M g: I" R; D" z9 D4 i/ r
1.7 非加密IC卡和加密IC卡( h! b$ W- n& J _9 A* i! r
$ w* X2 [; R/ |+ c% n. ]3 c
非加密IC卡和加密IC卡的区别就是,非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;" r4 {2 |! g9 T4 k/ D. l& s9 c
而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。
, n4 f9 j% t. P5 B7 w: R6 Y2 w0 F6 \. O
一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如Proxmark3读取。
5 f7 s5 J5 v: f7 e0 `+ N9 P- ]' f3 e2 c, Q4 L' X+ j& {6 g* `# L$ k0 x
对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。
, I: j2 z! B: s因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都有服务器定期校验,得先搞定服务器再说,难度高还违法。, F3 \; F, I0 h6 E0 x
! g9 j4 w8 b7 ]3 b0 A8 {参考资料:
K6 u' J' X6 s1 A& M5 Q码农生活 篇二:IC卡门卡模拟探秘
$ C5 f, v# L1 ]' S" G1 R- H! j4 qIC卡简介【M1/S50,UID,CUID,FUID,UFUID复制卡介绍】
" ~! i0 ^0 e; R" d- H9 X0 E, J谈谈 Mifare Classic 破解
8 u3 u1 E2 T r" D3 J# c( O" ^+ qrfid-practice
' y! y7 J0 N$ V& z9 F5 K; c" dType A 卡存储结构与通信 M! @# R% f8 ~
Proxmark3 Easy破解门禁卡学习过程
. d6 P/ L# C. Z0 c# o2 |% h5 t' q
2. 手机NFC模拟加密门禁卡
1 R3 K. k6 z, }" j) s6 t) [0 D8 O! W4 G7 z
有了前面的知识,再来看现在我的加密门禁卡情况,手机能识别为加密卡,肯定是IC卡。' }8 b& l% E* h0 v" Y x
: H5 q. w' ~7 }0 G首先,加密卡在目前这个情况下是无法解密的,如果按照下面的操作失败,请参考下一章。/ `" }1 g+ b1 E
部分门禁系统只认证IC卡的UID,利用这一情况,可以试试复制门禁卡的UID,看运气能否打开门。, g7 U! U8 J) J" L' c6 W4 k% l
% ?" J8 v- M8 W2 I! k
在已root的情况下,直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。
! n9 A0 t, g1 {* Q; L N在未root的情况下,使用小米系统自带的门卡模拟功能,出于安全考虑,是不能对加密卡进行任何操作。手机的NFC,理论上可以读加密IC卡的UID,因此可以使用第三方软件MifareClassicTool读取UID,因为没有root,不能写手机NFC,但可以写IC卡,因此还需要一张CUID卡(不能使用UID卡),某宝上一块多一张,思路就是先读取加密卡的UID,再读取CUID卡的数据,然后将CUID卡的UID改为加密卡一样的UID,再将修改后的数据写回到CUID卡,最后用小米系统自带的门卡模拟功能,复制未加密的CUID卡即可。# P1 c# w/ F) ~2 B! X0 z0 Q& y
& O1 R6 X' B4 r: {: j1 d1.读取加密卡的UID# ?5 |4 v5 }$ b9 u X1 U+ h
打开软件Mifare Classic Tool,将加密门禁卡放到手机的NFC感应区域,识别到IC卡后,点击“工具”->“显示标签信息”,可以看到加密门禁卡的8个数字,4字节的UID。2 V! j! }! _, I
注意,在16进制里,每个数字为4位(2^4=16),8位(bits)为一字节(bytes),即两个数字组成一字节,这里8个数字,即为4字节(Bytes)。
) w* r( O% w: X7 o$ a3 L前8个数字,每个数字代表4位,8位为一字节,8个数字就是32位,即4字节9 O- u$ I) w* Y! p& G$ N
接着打开“工具”->“BCC计算器”,输入UID,得到1位BBC(两个数字)校验数据。
4 V2 \2 S% S6 g& ?& v5 ~* x3 n; T8 Y* a& R. O$ m

& ?: y6 B1 L3 v0 `
2 x5 {4 n: w# S8 ]/ g$ N2.读取CUID卡数据
( @' o4 v7 f2 ?将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“读标签”->“启动映射并读取标签”,即可得到CUID白卡的所有信息。
6 {2 |6 H2 I/ W接着修改第一行的前10个数字,改为加密门禁卡的UID(8个数字)和BCC(2个数字),一共10个数字,并点右上角保存图标保存。1 W2 U" L3 v, j" f
% q# R* n! v! S" }

$ S# P% D8 \7 s" ]( p" F! U( D t3 ?# u- z+ d
3.写数据到CUID卡# M1 \* _2 B) d2 Y
再将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“写标签”,勾选“写转储(克隆)”->“显示选项”->“高级:使能厂商块写入”。; ]' G" P0 j: K9 |
再点击“选择转储”,选择刚才保存的数据,点击“选择转储”。
3 P2 @4 }; E) H( t$ R& h8 i
! C5 V( J' O) ?! ~9 W4 R8 v
) ?6 r3 g* ]0 U4 ~8 ?" P" ~1 w
& w3 y% f( l7 h# S! B4 L在弹出的选择写扇区界面,默认即可,点击“好的”,最后点击“启动映射并写转储数据”。
3 a; b1 i; e0 S1 z+ a# p: E: p5 |3 S* T2 V
/ Y- N. [; R/ a( s5 g- ~+ V
. z7 N6 A8 T& U4.NFC手机复制CUID卡
* N* x) h' V- I! A9 F' I最后,使用小米手机系统自带的门卡模拟功能,复制刚才写入新UID的CUID卡即可。
6 B! [9 |% [+ G5 y4 t% Z: C1 \3 |2 n) l% {% Z
接着,就看运气吧,我小区的门禁系统就只认UID,搞定。
- \! k) A6 X0 d- V! N. b. B
) e% c& e) K' q! x' W- d& ~3 e- ~1 T) I) R( o" A- w* Q! H% A
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
