记录小米手机NFC模拟加密门禁卡,以及Proxmark3的使用。
7 ]1 E# c% G6 [* K7 T$ G2 F! Z* `" y: I
0. 缘起
. G" Q Y- S7 a( l0 `& z+ E! s! f4 D) H4 }0 r, s% |( @7 {8 q. V
之前,小区用的门禁卡为非加密的门禁卡,使用小米手机系统自带的门卡模拟功能复制即可。
' N7 e- e, C" _9 K后来,小区门禁系统换了一家供应商,再使用之前的方法复制门禁卡,手机提示为加密卡,无法复制。
5 G2 a _+ N! k4 P# g+ E- r
$ I, B& |4 D9 l/ n/ p% x新的门禁系统,更安全了,也支持APP远程控制开门了,直到有一天门禁卡丢了,开始使用APP开门,发现这APP写得烂透了,十次有五次点击开门按钮无反应,需要反复退出、打开APP多次才能点击开门按钮成功,还有两次直接没了开门按钮,提示到物业管理处处理……' ~" e% m- D4 @( R4 e
那个时候,我又开始怀念用手机刷门禁的快感了。。4 a8 W9 O7 W! w3 E; v2 I& v. K
; h' W5 T) c# y+ `1. 基础知识
: h: V9 [: N4 Q% ~# l2 |# e
3 N/ q7 m8 \/ k- v4 B2 c9 {) ]于是,我开始查阅资料,基本确定了小米手机是还是可以通过其它方式模拟加密门禁卡的。
5 z2 a' A' y+ A( G然后,资料查多了,记不到,又怕以后用到需要重新找,干脆水一篇博客记录下来。
/ X/ T# y; F9 u2 i0 u8 G1 D2 P( l如果熟悉NFC和IC卡,或者只想模拟加密门禁卡,并不关心原理,这章可以跳过,直接看下一章。6 \6 H& g6 S H5 h; }
8 }% m6 G+ i$ C |8 A" L/ v- o1.1 ID卡和IC卡
! y8 u0 k8 n. P, Y2 b9 S% F( {& C& ^' d' `9 u7 a6 p) A" f
ID卡:全称身份识别卡(Identification Card),多为低频(125Khz),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。
" _4 f* y0 h/ m, F( H
: f, Q4 P4 P& O+ h$ v# n2 Y1 I9 UIC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。
* C; ]# Z' g3 X) W" v/ J6 w5 u9 F* F/ M& O9 \ a3 O3 X
主要区别: m7 f9 {* s! C8 L' C% o2 G
ID卡,低频,不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;
, G3 ]0 Z ?$ X3 Q2 k; k9 XIC卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等),IC卡所记录内容可反复擦写;# D9 L6 w& R% ?" K
J5 P' @/ R0 f1 H, T/ JIC卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;
. r9 J$ @* X' r( k" l. u0 R. i6 x$ q) ^/ i* d$ x0 P" n7 r& _/ s3 R

T" E j8 t# k ?0 k4 ]8 \0 F) u' p" Y; _% Q& s

* c1 \8 T1 M. @$ G* Z/ O8 i$ ~ @& J- H" K) [* M( R
以上图片来自淘宝商家,网上找了半天相关资料,发现淘宝商家解释得最清楚。6 S5 G$ C* Q# @- x9 v) T* a
9 l" C9 E$ a, J% ]3 W0 D+ O
总结:9 A: R0 r/ O4 O4 U. r, W$ j
1.ID卡多为低频,IC多为高频;
& ]1 w! ], b: w/ f( Z6 n$ J2 n2.IC卡整体上看比ID卡更有优势,市面上使用的大多数也是IC卡;8 C) O: g! G6 F- D" X( Q+ {
3.对于矩形白卡,里面为矩形线圈、表面没有编号的多为IC卡,里面为圆形线圈、表面有编号的多为ID卡;- ?( [" A! L3 c$ c0 D Y
4.对于异形卡,有编号的多为ID卡,最好使用带NFC的手机进行测试(目前手机NFC只能读高频13.56Mhz),IC卡会有反应;
* x6 [7 j5 `& `1 ~0 \4 }% O8 I' R3 Z8 k: z4 p2 ^
1.2 接触式和非接触式IC卡 M: ]+ K. z5 ^- E
( j# o8 |9 M. v) K% c1 N& Z' L; B
IC卡又可以分为接触式IC卡和非接触式IC卡。! |! t' \$ M! O( m
5 y4 Y2 l) F( y. m
接触式IC卡:该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写;2 i$ s) b' Q2 t7 Z- N5 ]
$ G2 p" n& }% C+ J, Q非接触式IC卡:又称射频卡、感应式IC卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。
* N5 Q7 W, T/ e0 | J
& g& M# U% J: x, k5 @9 T* o" `3 ?两者比较好区分,直接看卡上有无金属触点即可。: @* y: M0 } B( F/ i9 G
4 i$ [' t! s2 @+ N0 A, k6 h8 p) F) z2 T! M2 c- V
/ \8 I2 u( x r8 i# f* U0 r; d& \4 @
1.3 RFID和NFC
* i, G, K- r) B
7 [, O% _/ ^' p$ }非接触式的读写技术常见的有两种:RFID技术和NFC技术。" m3 A* U' s7 d
2 g+ A8 d! b9 ~1 gRFID技术:- C& D' g9 E: N6 g
1.通常应用在生产,物流,跟踪和资产管理上;1 Z2 u) X2 B4 j9 e% D& Q
2.根据频率划分包含低频、高频(13.56MHz)、超高频、微波等;
. A) N; o4 e* H0 z1 g9 `3.作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;
# \+ i. f& f4 y' B9 u3 y% x# ^# b4.读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;% X$ R' P) }# n( A) W1 D
: _; s p) C1 o
NFC技术:
" c/ r$ V S) W9 D1.通常应用在门禁,公交卡,手机支付等领域;( g" D% x ~8 J/ K5 x7 L
2.频率也是13.56MHz,且兼容大部分RFID高频相关标准(有些是不兼容);$ v+ }4 w) t1 B' K" \
3.NFC作用距离较短,一般都是0~10厘米;
9 g. x4 i! b2 W3 |0 B \, G4.读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;6 T% E8 ~( `* \" e. P
$ @: l- p6 b9 F# c1 b K
总体来说,NFC是RFID的子集,但NFC有些新特性又是RFID所不具备的。" q: o( c8 }* H* N% _
! J7 i% p/ ?8 ?- L9 ^
1.4 ID卡类型/ j' p6 c7 o- C! I& B
/ h! g& }$ p# \. ^* G B2 XID卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:! H8 k6 E1 P# l+ u' h" D
, i+ D6 |# v9 S( e" W1 F( w
ID卡6 U- \/ y- u, o# I* i5 T1 N* E7 w
EM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;% k6 ?0 H6 @0 t* K- K) @0 b V
: D/ ^% z/ t7 o" ?3 v4 i
ID白卡+ C; D. G: I" x9 W& |0 z
EM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;
' \' T R1 E# V$ l9 Z; b4 n2 N6 V) YT5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡. W; M! X8 B& H5 I( W
5 V4 l0 v( D5 [- S2 G
HID卡/ w0 e! G/ n% v
全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;! t- c- [) d$ G- ^: w/ k1 c- U
& i* i, [4 c) d! K
1.5 IC卡类型5 v6 q3 r* j" o" l+ \
6 ~% t9 p9 w) ~! e; h
IC卡中最常见的是NXP Mifare系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:9 {$ G/ ]# ?1 X# q6 f' R+ B6 C8 s
' a& I7 |- b7 W3 P' m6 \
M1卡" ~/ L4 p- @2 A m
全称Mifare S50,是最常见的卡,出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡;
) a( f* E" X5 v3 ^& P+ m2 t8 s
* k3 L" O) h% `M0卡. }. k( b+ C7 ~' h n
全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;常用于地铁卡,公交卡;' F6 y5 N7 ]8 R/ c
9 o" X( H! g2 p& c% y. d以上两种固化了UID,为正规卡,接下来就是一些没有固化UID,即不正规的卡:
_6 }# x6 }) f# l$ K( U7 K& }/ \) w# \
UID卡- a0 h! T( }2 a
全称Mifare UID Chinese magic card,国外叫做中国魔术卡,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;
: K7 w8 [9 B( c& A5 c% j但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);
* T, r6 ^/ }" ^6 @
+ {, n3 m6 r% X; }" T# zCUID卡0 r& ^. ~" K% I* [0 I* i7 o
为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;; a4 f; f0 i. I6 N$ N
近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天CUID卡会和UID卡一样面临着淘汰;$ l/ v% P9 M! ~5 e; `( {5 {" J
4 }1 _' i) t: R5 m
FUID卡4 T9 L) {' l) _
FUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;
2 I4 O) n/ ]- k但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
8 L, @8 B& {9 _6 K% d$ Z* ]& h/ q2 F) c3 j
UFUID卡
( {2 K6 z7 C1 h% w7 z1 v3 ]集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。+ O' Y& K& s- p, R3 [
可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;# ?# G. e' C' O1 p1 I1 z
+ F8 B' @2 q% e# e1 `判断是M0卡(Mifare UltraLight),还是M1卡(Mifare Classic 1k),可以通过SAK值判断。
# d4 V8 p' z7 Z( S) E
. Y8 n/ g0 V( ]" E产品ATQASAKUID长度Mifare Mini00 04094 bytesMifare Classic 1k00 04084 bytesMifare Classic 4k00 02184 bytesMifare Ultraligh00 44007 bytesMifare Plus00 44207 bytes
8 d i* I; x Y- f( g; G
. U# j+ V$ W* r7 ? ^3 N! a1.6 IC卡详细分析
# b/ a' s2 z% f: R+ B
# y3 D. \3 m/ n9 N. M, t1.6.1 IC卡存储器结构
( k$ @! i: m6 N; F8 [4 D7 U* C9 Z# R, j
以M1卡为例,介绍IC卡数据结构。/ b/ e" W% u% Z/ t6 u' O3 |
M1卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;
0 z2 l$ ^7 d( |. |' v: x每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;* q( K& a e6 D0 V
g! D- [; A, A% [* p9 L2 H. f9 J) A9 O
! _9 t6 W, `% D- N
厂商段, j8 v" {: m$ p# E+ N; x
每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。8 [$ O$ Y! k5 G: C. m$ V0 P; S8 p/ m
其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,剩下的是厂商数据。; j0 C* G5 |$ p/ i7 P* D: o. }
并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。3 n6 s% q- [+ b8 Z
0 `! G+ Z1 b, G3 y
# B, W g( M4 ]% w* z0 u4 l# b; r
~6 E3 @* H% a4 n数据段
4 F. E: @* B% w$ A除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。, w7 L5 K _. y: L* t6 i% h
数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。
, e0 G% T* M$ T, N6 A- I值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复,值段格式如下:8 u0 Y& Y( z5 z0 o+ k2 R# w
" d+ }# u% N. c k( f: r2 {& E" q2 w; P+ z Y
4 z2 K5 D) T( Y- U* i1 ]; i
Value表示一个带符号4字节值,为了保证数据的正确性和保密性,值被保存了3次,两次直接保存,一次取反保存。该值先保存在0字节-3字节中,然后将取反的字节保存在4字节-7字节中,还保存了一次在8字节-11字节中。
O. I. g& o% i+ ZAdr表示一个字节的地址,当执行备份管理时用于保存存储段的地址。地址字节保存了4次,取反和不取反各保存了2次。在执行加值、减值、恢复和传送等操作时,地址保持不变,它只能通过写命令改变。# n/ w% z# \# X, Y1 t4 I( A4 u
3 A% Q- ~, r% ]2 L- c- G$ t
控制段" z7 m Y) Z/ [+ _( D- R% S
每个扇区都有一个区尾控制段,它包括密钥A和密钥B(可选),以及本扇区四个段的访问控制位 (Access bits);访问控制位也可用于指出数据段的类型(为读/写段还是值段);控制段的存储格式如下:7 p7 E: L9 d$ B; J, P: R6 z6 l& K) l
$ n: g+ E# |, c) ?
" K2 [' i! p9 k3 J0 V/ v) @, j9 `% j2 \
4 r2 ?* {7 S% |/ j, J
如果不需要密钥B,那么区尾的最后6个字节可以作为数据字节,用户数据可以存储在区尾的第9个字节,这个字节具有和字节6、7、8一样的访问权限。' ]1 g$ R, L% j+ Y4 }1 v
& u, O0 Q% N( [: J J, Z1.6.2 IC卡访问存储器
7 T/ k- |* g9 |" |- b
+ {0 f! P: g% T6 h9 o. `9 b数据段支持的操作
& |& O5 ?9 R8 G6 h% f; x根据使用的密钥和相应区尾访问条件的不同,数据段所支持的存储器操作也不同,存储器的操作类型如下:% ^1 m) O9 R+ @1 {. M6 Y
6 M1 C% K0 v: }. ^% l

, D5 _+ W2 I: [
' a% }7 J; t% Q. I2 }可以看到只有作为值段时,才能加、减、传送、恢复。
0 }5 v6 U0 w, m l8 s- A( e/ e# B1 c6 h0 N( Q; F. e+ d
各区的访问位定义7 x2 Z/ D$ K( J. h
每个数据段和区尾的访问条件由3个位来定义,它们以取反和不取反的形式保存在区尾指定字节中。& J+ I. E3 p1 p- l- \( ?+ t
访问位控制了使用密钥A和B操作存储器的权限,当知道相关的密钥和当前的访问控制条件时,可以修改访问条件,各区的访问位定义如下:
- L8 }) Q! Z6 F2 G
$ {9 t: }+ ~8 L v; A7 ?9 {
0 p" q. r5 m k/ W; s3 N$ R4 {9 W$ B7 X D8 l
访问位在区尾的存储形式
% J F# |8 r2 N" g) D% p) M- B, ?8 M0 s1 R
! {5 n& `" r! i, i6 D6 ^- r
# z- Y2 r d7 B+ G区尾的访问条件
7 c$ o0 G+ c2 k2 c M. d& f根据区尾(段 3)访问位的不同,访问条件可分为 “从不”、“密钥A”、“密钥B” 或“密钥A|B”(密钥A或密钥B),区尾的访问条件如下:, Q$ c7 J1 V5 ]- q0 j2 [: G" ]6 p) p {
6 V! S0 J2 j9 Z# m' ~$ W8 e) V4 ?- r1 N c- @. Q: l
! E$ @9 j p- i5 N) k2 X用灰色标明的行是密钥B可被读的访问条件,此时密钥B可以存放数据。
! C5 g& h& N& Q& s例如:当段3的访问条件C13C23C33=100时,表示:密钥 不可读(隐藏),验证密钥B正确后,可写(或更改);访问控制位在验证密钥A或密钥B正确后,可读不可写(写保护);密钥B不可读,在验证密钥 B 正确后可写;2 H9 u% u$ T/ f( `# f: |3 G
又如:当段3的访问条件C13C23C33=110或者111时,除访问控制位需要在验证密钥A或密钥B正确后可读外,其他如访问控制位的改写,密钥 A,密钥 B 的读写权限均被锁死而无法访问;
/ J( j6 p! b- G, K7 r6 j( _# f7 |4 a" }
数据段的访问条件
( [- v9 P' w' W根据数据段(段 0-2 访问位的不同,访问条件可分为 “从不”、“密钥A ”、“密钥B ” 或“密钥A|B”(密钥A或密钥B)。+ g# x, y! u4 O# h3 i3 a A
相关访问位的设置定义了该段的应用(或者说数据段类型)以及所支持的应用命令,不同的数据段类型可以进行不同的访问操作。 读/写段可以进行读操作和写操作。值段可以进行加、减、传送和恢复的值操作。
R7 l5 k% {! i9 [7 t$ M. s其中一种情况中(001)只能对不可再充电的卡进行读操作和减操作,另一种情况中(110)使用密钥B可以再充电。 厂商段无论设置任何的访问位都只是只读的, 数据段的访问条件如下:; c# ]. Y: V$ {! _: V1 \
G$ J0 d! q' k r! |% u
, }% [( K, {4 I- Q: w5 z: f1 q! W. a# L9 I: [5 z
如果密钥B可以在相应的区尾被读出,它就不能用于确认(在前面所有表中的灰色行)。如果读卡器要用这些(带灰色标记的)访问条件的密钥B确认任何段,卡会在确认后拒绝任何存储器访问操作。8 W# X# L1 u& L" E/ N/ H$ S5 |2 R
: ~- V: B5 H' {* ?- Z
1.6.3 举例说明- J6 m6 Z8 K2 x: H5 j7 Q
. G) m8 D1 h5 a" r6 DMifare S50出厂时,访问控制字节(字节6-字节9)被初始化为“FF 07 80 69”,KEY A和KEY B的默认值为“FF FF FF FF FF FF” ;
9 B6 j8 k8 T* z) N/ B }" s7 J' ?3 Q8 k字节6为FF,二进制为1111111;字节7为07,二进制为00000111;字节8为80,二进制为10000000,如下:8 Z r& X! [! W/ G: `4 Y
# L- t) t' D8 k
2 q$ g, g4 L* w7 I
8 d: e, C) B, v9 w2 l8 y+ F对照前面的访问位在区尾的存储形式图,可得知访问控制位为:
3 B' r8 Q' F5 g; F- LC10C20C30=000;C11C21C31=000;C12C22C32=000;C13C23C33=001。
1 j T' ~) T' z3 v. M( V$ H4 J# C9 G; G6 W/ c6 [
C10C20C30、C11C21C31、C12C22C32对应数据段0、1、2,参考数据段的访问条件图即可得知该段三个数据区的访问权限;& W$ P5 p6 q+ H
C13C23C33对应区尾(段 3),参考区尾的访问条件图即可得知该段的访问权限;/ @, d2 ]8 P. q$ m
$ n' f9 @0 E. c2 A块0控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;3 E6 v. ^# c" N2 z" L/ V
块1控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;7 A9 e" ?+ d) j
块2控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;$ {, A0 [7 Q3 ~2 E
块3控制位为:0 0 1 权限为:A密码不可读,验证A或者B密码后可改写A密码;验证A或者B密码后,可读可改写存取控制;验证A密码或者B密码后,可读可改写B密码;- [: m, [0 X5 D7 x. M
: l( `4 I' n9 X3 X3 T3 A b这样每次换算还是有点麻烦,可以使用M1 S50卡控制字节生成工具快速换算:
8 ]+ R1 n0 a5 Q. r( M! }3 D! c3 V6 L: W {3 g
- [; M* B% X2 _' R( A
- A: R# K) z7 c% X
最下面一行可以输入想解释的控制字,也可以根据上面的设置生成控制字;2 a {" }! d- _
最上面一行,左边是数据段0、1、2的访问控制位,右边是对应权限所需要的秘钥;
% F) v7 b- Q( d: V4 u# t* E: ~: Q中间的一行,左边是区尾的访问控制位,右边是对应权限所需要的秘钥;
- m7 A4 c* o, A5 O9 ]: W( b+ Y U. T' [) `" p" Y2 x
1.7 非加密IC卡和加密IC卡
4 C) [+ d1 S$ E4 a. } l
8 d4 C) j+ o1 N. O1 y& Y8 M非加密IC卡和加密IC卡的区别就是,非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;% b8 `: ]' l: l9 K2 I- j
而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。: J* A4 X: F2 s
: S6 S' {4 H( w% x一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如Proxmark3读取。2 r* l3 H) C* |+ g% F
2 `& f7 @& ^4 A9 u3 n8 H1 L+ Y对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。# O0 H- }0 r. ^
因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都有服务器定期校验,得先搞定服务器再说,难度高还违法。2 ^; { c, y; j' x% a& G
. G6 U. K% D. q q参考资料:
" R9 q: n K/ B5 ^- X# f2 Z# b码农生活 篇二:IC卡门卡模拟探秘 `( g/ l2 A7 i# a! ~, e
IC卡简介【M1/S50,UID,CUID,FUID,UFUID复制卡介绍】7 T% O7 j9 g: ^- k- q/ M) @
谈谈 Mifare Classic 破解) ~' H Y, {, K! ]. i' X. T
rfid-practice
: W/ W- V+ I: X NType A 卡存储结构与通信 I/ b7 R- @% L) c
Proxmark3 Easy破解门禁卡学习过程
( b+ k% w# Y# S h) y: q( V; H
4 o8 V5 |/ I1 D# ]! f* I* P+ I2 F2. 手机NFC模拟加密门禁卡! X, N8 M" V% z) h, P4 L4 r& Y: Q
; Z7 j# H, l" X& g
有了前面的知识,再来看现在我的加密门禁卡情况,手机能识别为加密卡,肯定是IC卡。" e8 B2 Q B' W5 ?' n1 y
) v5 V1 H4 q# R2 D; {2 c
首先,加密卡在目前这个情况下是无法解密的,如果按照下面的操作失败,请参考下一章。
' X% k2 z. y' H1 y部分门禁系统只认证IC卡的UID,利用这一情况,可以试试复制门禁卡的UID,看运气能否打开门。: l( ], H- t/ S: E p! c
( l6 L L1 ^& T% h5 ?) C
在已root的情况下,直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。# O' W, {! s# i5 M! o' Q- L
在未root的情况下,使用小米系统自带的门卡模拟功能,出于安全考虑,是不能对加密卡进行任何操作。手机的NFC,理论上可以读加密IC卡的UID,因此可以使用第三方软件MifareClassicTool读取UID,因为没有root,不能写手机NFC,但可以写IC卡,因此还需要一张CUID卡(不能使用UID卡),某宝上一块多一张,思路就是先读取加密卡的UID,再读取CUID卡的数据,然后将CUID卡的UID改为加密卡一样的UID,再将修改后的数据写回到CUID卡,最后用小米系统自带的门卡模拟功能,复制未加密的CUID卡即可。
8 A: e. ]2 \5 [0 R9 f5 J4 A6 e7 H+ o i" Y6 I$ f9 q4 i
1.读取加密卡的UID: a. D, t& Y, b0 F3 m) T
打开软件Mifare Classic Tool,将加密门禁卡放到手机的NFC感应区域,识别到IC卡后,点击“工具”->“显示标签信息”,可以看到加密门禁卡的8个数字,4字节的UID。
+ j, L* C+ L2 L' {9 S注意,在16进制里,每个数字为4位(2^4=16),8位(bits)为一字节(bytes),即两个数字组成一字节,这里8个数字,即为4字节(Bytes)。- m/ R; h0 J# i' L4 v6 O7 t
前8个数字,每个数字代表4位,8位为一字节,8个数字就是32位,即4字节8 j0 A! I& D/ I4 x. `# [
接着打开“工具”->“BCC计算器”,输入UID,得到1位BBC(两个数字)校验数据。
+ D+ s* v8 y3 A/ F6 ?
g: t4 {# O# `! d# U$ S0 \# K' e" g7 |) V2 l# s6 p3 V
, x8 d' i: N$ W
2.读取CUID卡数据9 J( C7 L5 J. K6 D8 u5 t
将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“读标签”->“启动映射并读取标签”,即可得到CUID白卡的所有信息。
; }% s# y3 g9 V) {接着修改第一行的前10个数字,改为加密门禁卡的UID(8个数字)和BCC(2个数字),一共10个数字,并点右上角保存图标保存。
- \7 _ n% p- \/ U7 Q. S
* x3 b& A7 x1 ]; |4 W! T6 y5 g* B
5 O. x: S- m4 P' j* C. P( x3.写数据到CUID卡
0 }* \2 z9 A- ~ b1 S再将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“写标签”,勾选“写转储(克隆)”->“显示选项”->“高级:使能厂商块写入”。
; p8 A+ U+ |2 W. ~) n9 c再点击“选择转储”,选择刚才保存的数据,点击“选择转储”。/ ~- b3 G& }+ x
9 j3 Q K; b" @0 i5 w! Q& Z, i

0 R7 P8 m. H, { R+ Q7 w& A
; N- a3 K0 T/ |* ~5 t在弹出的选择写扇区界面,默认即可,点击“好的”,最后点击“启动映射并写转储数据”。
* h2 w7 A: Y' Z$ s8 ~
" a3 t% `6 r7 w/ z# z7 U, ^7 H% {- X! x, Y- c; v
$ }* d) l9 A( t; l4.NFC手机复制CUID卡
/ b' n3 g6 L8 i: e' ^5 `最后,使用小米手机系统自带的门卡模拟功能,复制刚才写入新UID的CUID卡即可。
$ p6 U, T; B6 j8 d. N/ T' i9 N6 w% T1 b0 h3 l9 Z- H1 J8 ^" A
接着,就看运气吧,我小区的门禁系统就只认UID,搞定。 O2 W5 Z$ @2 d& s) S p
; o# n, T! s, _1 g" t& n. P3 A& q; } r Z5 e
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
