记录小米手机NFC模拟加密门禁卡,以及Proxmark3的使用。% E- \ R6 h8 W* u/ F' g# {# @
" O7 S, x7 d/ c. [$ ^- g( r2 e0. 缘起( ^: G, e; S' W# h( q3 G
" x+ u _+ h+ ?
之前,小区用的门禁卡为非加密的门禁卡,使用小米手机系统自带的门卡模拟功能复制即可。8 A, e% B# n4 }9 W5 K! W8 Y
后来,小区门禁系统换了一家供应商,再使用之前的方法复制门禁卡,手机提示为加密卡,无法复制。
- S% d4 v5 ^ Z& r ^
) p2 B9 B- p4 O新的门禁系统,更安全了,也支持APP远程控制开门了,直到有一天门禁卡丢了,开始使用APP开门,发现这APP写得烂透了,十次有五次点击开门按钮无反应,需要反复退出、打开APP多次才能点击开门按钮成功,还有两次直接没了开门按钮,提示到物业管理处处理……
; M$ O. j& g R" R* E9 V5 }那个时候,我又开始怀念用手机刷门禁的快感了。。
6 C5 t# r: @8 X/ L5 M7 q5 R4 L( |" s- m2 I
1. 基础知识; a$ ^* x9 v0 W
7 J2 P% _' `" ^# ]6 h) Q b
于是,我开始查阅资料,基本确定了小米手机是还是可以通过其它方式模拟加密门禁卡的。
6 U9 [; s- R/ F! q然后,资料查多了,记不到,又怕以后用到需要重新找,干脆水一篇博客记录下来。
. J! }1 d9 C4 b1 B2 v3 M2 q如果熟悉NFC和IC卡,或者只想模拟加密门禁卡,并不关心原理,这章可以跳过,直接看下一章。. S \8 X" ^( b$ A& f2 X$ z
' `6 p, R7 |$ o1.1 ID卡和IC卡8 {( ?% [. W8 w0 b. f0 E! ]
! m* M# h2 W8 _8 M
ID卡:全称身份识别卡(Identification Card),多为低频(125Khz),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。
4 P" ]# M5 d. e/ N1 Y1 Z
5 Q8 w" M- c/ Y' F0 E: eIC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。
) k# N& j5 q, Z) i: I4 E2 |7 E/ \# i& T f
主要区别:9 C5 t: _: K, h( I& M
ID卡,低频,不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;( ?: k) C: x# o* V4 N
IC卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等),IC卡所记录内容可反复擦写;, g' v+ V! m/ O5 ], U2 u5 E8 l, z8 {
: j. Z, A I: g
IC卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;
z$ g$ N+ U3 q9 m# M
, m. m1 r' l5 a/ S# u6 Z, ?5 X) E5 \" f8 O G
1 L2 p! L, G. m# V# I# {. P
# w `! V+ _$ h/ a. m ~$ n. E' x5 r" w. R3 i
以上图片来自淘宝商家,网上找了半天相关资料,发现淘宝商家解释得最清楚。
# x# E3 j) `9 t
: [8 G! G8 o& S9 [! h总结:5 ~4 F7 _# t9 L% U3 G6 r- [
1.ID卡多为低频,IC多为高频;
: E( {3 P3 {/ h ^: I7 E2.IC卡整体上看比ID卡更有优势,市面上使用的大多数也是IC卡;: v$ t; s3 z5 a2 w9 ~
3.对于矩形白卡,里面为矩形线圈、表面没有编号的多为IC卡,里面为圆形线圈、表面有编号的多为ID卡;8 y1 P2 T# I( t3 W4 u& ^/ K% s
4.对于异形卡,有编号的多为ID卡,最好使用带NFC的手机进行测试(目前手机NFC只能读高频13.56Mhz),IC卡会有反应;( r" ^3 {' Y! y; s
4 ]2 }2 a& B. G7 b* d
1.2 接触式和非接触式IC卡
' B* o+ H. K7 H' i& K! l4 i& A) {% R3 z7 ~1 S3 H2 z/ G
IC卡又可以分为接触式IC卡和非接触式IC卡。
+ Z9 c5 f% E! ^
4 [7 _% L$ I+ ^' X; F接触式IC卡:该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写;
/ J6 `0 J% w$ U7 U3 f! p; [$ D+ w4 `* j- ^* E1 y
非接触式IC卡:又称射频卡、感应式IC卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。
. i: a' o. p! S2 N* i& C& |
" n* P8 ]- Z' _8 i, W1 Y- G+ u两者比较好区分,直接看卡上有无金属触点即可。
( r. P/ b+ O& R, B4 l% M8 H1 h; K3 E2 N, u& f$ P# k

( @) {5 }6 E6 \; }7 U7 h: }' o, N; _& i$ M$ k/ Z! h8 M( E
1.3 RFID和NFC
. L% k' s* I' M; T& m0 T) x# C% h
8 g% y1 r7 l4 ?: y, P+ G9 P9 k非接触式的读写技术常见的有两种:RFID技术和NFC技术。6 P- U4 i: ] y8 j
- M3 i/ c; o# r- v8 [1 z1 O7 [
RFID技术:/ P1 L' u& y/ D+ n4 L# m6 k
1.通常应用在生产,物流,跟踪和资产管理上;
5 N% K* Q7 H4 F3 R& d2.根据频率划分包含低频、高频(13.56MHz)、超高频、微波等;
F; S6 H9 k* J- |. S3.作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;; g! \, o- u7 W, [: D' u+ ^. O
4.读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;
6 G* X( G# q6 U3 N3 G9 A5 q" a% N6 _
NFC技术: |* E, f+ \; w b
1.通常应用在门禁,公交卡,手机支付等领域;, W4 l3 y% K5 r1 j/ k
2.频率也是13.56MHz,且兼容大部分RFID高频相关标准(有些是不兼容);
9 |1 w2 K/ h' M |3.NFC作用距离较短,一般都是0~10厘米;7 L# }% S, Z. A5 m$ H
4.读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;
3 |1 Q8 w# w1 M) k: d) h
- H3 y9 }" P* q% j" X$ ^% ]3 w总体来说,NFC是RFID的子集,但NFC有些新特性又是RFID所不具备的。
7 ^- m7 ]% s, b. D+ C+ w
% O4 Z4 Y' P) H3 b1.4 ID卡类型
/ X+ i4 y9 v9 `2 D) J
4 ? e! k) A% t* Q S- RID卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:; K3 A5 q: A% \5 k" y! y
2 {2 u! u& D+ `ID卡
% G: {0 M" `" n- ^7 u* LEM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;# f2 x) Q, X- g4 q8 u
7 s. v& b8 e* v7 XID白卡
7 \3 z5 ^" k3 I# W; q1 W+ }EM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;& a9 R6 }# }6 \4 ?
T5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡
* _2 W3 a7 w% a) H u! B! N# ]% e5 m7 b( L
HID卡
% w+ F' v- Y- d8 z+ D3 b全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;2 ?4 p% e+ d# c& S ^
+ o! q0 j: i# a* ]1.5 IC卡类型! b, c+ X' m; }4 H6 D
: Y) @7 B0 H( x$ c) f8 }) m
IC卡中最常见的是NXP Mifare系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:* v- T" \3 C9 f
6 `* s x& F" s- H" l* r( w$ LM1卡
/ p6 ]3 d5 g0 V) O/ W, v& X全称Mifare S50,是最常见的卡,出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡;
5 _, c* f; W( {
( Q8 D. ~) r6 D; c9 V9 F6 nM0卡
4 [: }" t) K1 o4 Y4 N* G! Q7 I( b全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;常用于地铁卡,公交卡;- ^& y G6 [ o* C3 m
2 a1 m) w' k' W2 }以上两种固化了UID,为正规卡,接下来就是一些没有固化UID,即不正规的卡:. b6 E0 R4 F! n& j+ F* v
( g8 @0 ^$ v! z. AUID卡
/ l7 h7 y( b- e" T全称Mifare UID Chinese magic card,国外叫做中国魔术卡,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;
1 F$ J: o" b# Y% n! i+ T! s但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);4 d7 e& ~+ o" s. p& \% k/ W
c, Q# o! c8 ^- p; v$ z
CUID卡" W2 l" P# I' L; k% J! a% F1 d
为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;
+ o! ~' S& Z0 i1 o' p近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天CUID卡会和UID卡一样面临着淘汰;
2 ~" Y% Z r- {/ E1 D \ O' n, \7 x) W# k: Y! t
FUID卡
9 M" c; r8 i* t, h- VFUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;
+ {6 y" `& u+ v* O但缺点也相对明显,价格高、写坏卡率高,写错就废卡。- Y! E* K; T1 t' u
/ ]9 y: p2 s/ v0 v) c) N( }UFUID卡
& r) c6 x8 h& I( O" A* s! `集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。
% v; B& B0 e% V可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;$ o6 m: ~- c y$ |4 D
1 T: q, B9 n- N" S7 P" g# z2 f" q
判断是M0卡(Mifare UltraLight),还是M1卡(Mifare Classic 1k),可以通过SAK值判断。+ U& j9 F% ^" X+ f* U7 Q$ J3 p
- q, e2 }- j2 L: G! ]) {, s产品ATQASAKUID长度Mifare Mini00 04094 bytesMifare Classic 1k00 04084 bytesMifare Classic 4k00 02184 bytesMifare Ultraligh00 44007 bytesMifare Plus00 44207 bytes
, \( a' T) k. x+ H5 @. ~ d
U& R& o4 D' H7 _1.6 IC卡详细分析* L, U, n; {6 s: @3 j- C
2 i1 u, a# ?1 u( G) d j1.6.1 IC卡存储器结构/ n% I1 a5 i2 _1 K6 f
' F) N+ B( Y2 {; e4 ^, b
以M1卡为例,介绍IC卡数据结构。/ H9 z$ W2 J0 i3 }
M1卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;
, t* Z" R h N- ]8 \; ]* j每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;
# u* k) {* ^7 B) F: x5 G6 T, d: U h: f5 y

! |' o) o0 y( G6 G% Z D; a& M7 f( J( M' @# s/ E; o
厂商段 x* k8 ~, |1 E$ o) H7 n, a/ G
每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。
# O3 y/ ~) f) V5 b其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,剩下的是厂商数据。2 D- ~# ?9 z' C% p" f5 Q5 ~3 i
并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。
7 R; F% R# J+ o v! o1 y+ _
! v' {8 l: F- d& L+ l" o, n" f. Y7 e
8 n: |8 H/ W# Y8 q9 k数据段
( f9 w u5 ~, ^: n- X* _$ P除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。, \* W$ c2 n7 S* X: h1 I
数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。/ X2 d3 C! u0 ^+ |0 Q
值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复,值段格式如下:
8 b' |4 K, Q% I9 R4 j5 e! {+ R p9 s2 ?; m$ Q2 H- S
7 }/ s% T5 t J% n
: J* S! Q. R$ b# l5 K; N, h0 M) \Value表示一个带符号4字节值,为了保证数据的正确性和保密性,值被保存了3次,两次直接保存,一次取反保存。该值先保存在0字节-3字节中,然后将取反的字节保存在4字节-7字节中,还保存了一次在8字节-11字节中。
$ [# ?- {* W2 P$ j& R3 bAdr表示一个字节的地址,当执行备份管理时用于保存存储段的地址。地址字节保存了4次,取反和不取反各保存了2次。在执行加值、减值、恢复和传送等操作时,地址保持不变,它只能通过写命令改变。
% s$ T. \: ^) c0 _3 a: \: A0 |
5 i Y" h2 c3 ~+ f k控制段0 l- @5 q/ u% K( @
每个扇区都有一个区尾控制段,它包括密钥A和密钥B(可选),以及本扇区四个段的访问控制位 (Access bits);访问控制位也可用于指出数据段的类型(为读/写段还是值段);控制段的存储格式如下:: Y$ m# t4 M+ `* S6 M4 t8 b* X
8 I! I$ x. C4 ]8 g
; @/ u. b8 h1 x- k) F1 }- Q# _; d% X! y% }& L3 m
如果不需要密钥B,那么区尾的最后6个字节可以作为数据字节,用户数据可以存储在区尾的第9个字节,这个字节具有和字节6、7、8一样的访问权限。
' E1 m4 K8 f B1 m- B
) O6 Q: C8 D. s" ^ C7 x! g1.6.2 IC卡访问存储器
/ M! O/ X( O" I$ s% x/ Z: s' _& q7 i: {( T
数据段支持的操作
0 ~8 c) V" K9 h# z( s根据使用的密钥和相应区尾访问条件的不同,数据段所支持的存储器操作也不同,存储器的操作类型如下:1 S2 A9 A5 O' {9 q( i! r
! ~7 X2 J- s1 X. G' J
) k" B' m8 x/ t4 {5 X2 p$ J3 P
& X: J {- x6 c I2 Q$ P
可以看到只有作为值段时,才能加、减、传送、恢复。) t# f; n: i: O3 b* O* X: P
' s/ H# m5 P1 V/ W! b ^' f- H
各区的访问位定义% m& E5 H1 _! }3 Z
每个数据段和区尾的访问条件由3个位来定义,它们以取反和不取反的形式保存在区尾指定字节中。7 Z+ K& m& d% E/ D* F( ~
访问位控制了使用密钥A和B操作存储器的权限,当知道相关的密钥和当前的访问控制条件时,可以修改访问条件,各区的访问位定义如下:1 m2 ^9 u% ~* I2 }
8 G! X4 E+ t& n

! `4 s* g, B$ h5 c$ o+ `& d& j
访问位在区尾的存储形式% |/ H1 h0 u9 {. g
|) L. L' @8 B. [- M% t9 d
) j! x( l% A: v% {
v$ ~/ q# H5 v2 J
区尾的访问条件
" x& S$ |# K, r: l$ \根据区尾(段 3)访问位的不同,访问条件可分为 “从不”、“密钥A”、“密钥B” 或“密钥A|B”(密钥A或密钥B),区尾的访问条件如下:
3 i9 s$ D* D9 K; h2 ^8 b: q6 p6 G3 ?$ J# V/ ^9 B! f7 N, D4 D

, \/ h1 T$ S% R' y1 C4 L, {0 X
# h4 ^0 M- X# p" T! w用灰色标明的行是密钥B可被读的访问条件,此时密钥B可以存放数据。1 G0 p8 `. w8 s% I6 q7 e' t1 ^
例如:当段3的访问条件C13C23C33=100时,表示:密钥 不可读(隐藏),验证密钥B正确后,可写(或更改);访问控制位在验证密钥A或密钥B正确后,可读不可写(写保护);密钥B不可读,在验证密钥 B 正确后可写;
, J0 M' b F( E1 e- p' q$ w又如:当段3的访问条件C13C23C33=110或者111时,除访问控制位需要在验证密钥A或密钥B正确后可读外,其他如访问控制位的改写,密钥 A,密钥 B 的读写权限均被锁死而无法访问;
1 m; F! G5 X$ f: n- G" G- ?; O8 u9 C+ D8 C$ w5 |
数据段的访问条件% w; y+ A i% k3 q4 s
根据数据段(段 0-2 访问位的不同,访问条件可分为 “从不”、“密钥A ”、“密钥B ” 或“密钥A|B”(密钥A或密钥B)。' l3 Q: [( j2 h& D/ X
相关访问位的设置定义了该段的应用(或者说数据段类型)以及所支持的应用命令,不同的数据段类型可以进行不同的访问操作。 读/写段可以进行读操作和写操作。值段可以进行加、减、传送和恢复的值操作。* y5 A' m* K! o$ f! e
其中一种情况中(001)只能对不可再充电的卡进行读操作和减操作,另一种情况中(110)使用密钥B可以再充电。 厂商段无论设置任何的访问位都只是只读的, 数据段的访问条件如下:
2 }2 G3 |; M1 B. n( X. }9 M8 V) Y

/ K2 o4 e. S, K3 ]+ c
" a2 L2 [3 a x如果密钥B可以在相应的区尾被读出,它就不能用于确认(在前面所有表中的灰色行)。如果读卡器要用这些(带灰色标记的)访问条件的密钥B确认任何段,卡会在确认后拒绝任何存储器访问操作。2 }: i/ Z; o/ |! {
5 `6 z$ N8 D( L" ]# A" ~: g9 J1.6.3 举例说明
! B& n. J1 z% B- n
+ O( J0 y8 h" _Mifare S50出厂时,访问控制字节(字节6-字节9)被初始化为“FF 07 80 69”,KEY A和KEY B的默认值为“FF FF FF FF FF FF” ;( z6 Z; o D; O3 }& F; _) N* a" q
字节6为FF,二进制为1111111;字节7为07,二进制为00000111;字节8为80,二进制为10000000,如下:$ q" ]7 }+ z1 f
& n# s7 Y2 {$ |0 U8 I

' G" n4 M: V4 D3 `/ b+ r. a5 T$ B. @: e2 e9 K* u5 R) y
对照前面的访问位在区尾的存储形式图,可得知访问控制位为:
- L- m# L1 I8 o! _$ @$ eC10C20C30=000;C11C21C31=000;C12C22C32=000;C13C23C33=001。
, Y9 {( T+ w& o# T* ^+ s" L
0 i( Q+ G! a# Z# D+ c& ~- F5 P5 s: XC10C20C30、C11C21C31、C12C22C32对应数据段0、1、2,参考数据段的访问条件图即可得知该段三个数据区的访问权限;7 @6 D- k( o( S( ^* Q) j, y
C13C23C33对应区尾(段 3),参考区尾的访问条件图即可得知该段的访问权限;
9 H% N) S# I* ] r% `* `) F2 L& }6 `
块0控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;9 l5 d- j" P, _& Y
块1控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;+ g$ ?8 Z9 I( [1 ]; N8 |5 H
块2控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
( Z% \& Q$ _' j块3控制位为:0 0 1 权限为:A密码不可读,验证A或者B密码后可改写A密码;验证A或者B密码后,可读可改写存取控制;验证A密码或者B密码后,可读可改写B密码;5 R8 z6 ~; j2 L7 z5 i3 ~% r3 [
6 t( ]8 ?9 z& Q( E* B! D这样每次换算还是有点麻烦,可以使用M1 S50卡控制字节生成工具快速换算:7 F% j! }( q4 m7 E
3 {% D' q, ^- Y+ i' d

8 i9 y0 M) f1 a/ |$ C' b" _" g$ @- h0 y+ z% h7 W, S. v& a
最下面一行可以输入想解释的控制字,也可以根据上面的设置生成控制字;
1 e1 i) Q4 F' T/ x: U/ }最上面一行,左边是数据段0、1、2的访问控制位,右边是对应权限所需要的秘钥;
- \6 V6 o" K- `8 y F; ^3 k中间的一行,左边是区尾的访问控制位,右边是对应权限所需要的秘钥;
5 m- _6 @' \) M# q) j8 c
( C9 X: @, _9 p ^- \1.7 非加密IC卡和加密IC卡
9 {2 O9 Q- U& Y7 v4 j: U" {/ I8 Q" x, ]& v
非加密IC卡和加密IC卡的区别就是,非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;
9 f' l9 M& ^ U- ^1 o: r. D/ H0 }而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。
/ K: H# q+ B/ K; E5 u0 D' h; W2 w( w6 ?
一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如Proxmark3读取。
: A1 }, ?2 B) }0 j5 b
, r1 c! L& B- I* S4 O对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。; ^1 R" t; P4 m- P& m+ |
因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都有服务器定期校验,得先搞定服务器再说,难度高还违法。5 H; x- _6 z4 L' t& ?
j' B: ?3 h0 u
参考资料:
x- e* A1 f) x" ^- j# A码农生活 篇二:IC卡门卡模拟探秘6 N. ]# Q. M/ {0 e8 G
IC卡简介【M1/S50,UID,CUID,FUID,UFUID复制卡介绍】; e" P! K: J2 i. ?
谈谈 Mifare Classic 破解
' b2 G6 l# v1 grfid-practice
. D0 P- e, J% q# ~1 x2 hType A 卡存储结构与通信0 [" ], F0 i3 I. E
Proxmark3 Easy破解门禁卡学习过程
* l" q7 T* j6 b" {8 L5 p' w- O" g2 P U, m. @
2. 手机NFC模拟加密门禁卡
# J- O1 k" g# M/ y5 o: O/ l7 Q
& h- g0 m* d0 |/ T5 V6 ]有了前面的知识,再来看现在我的加密门禁卡情况,手机能识别为加密卡,肯定是IC卡。
+ A* ]7 u% o( o" n3 |- p; b2 {* T3 L! F6 T0 H
首先,加密卡在目前这个情况下是无法解密的,如果按照下面的操作失败,请参考下一章。
/ ?, E% x6 q& ] w7 G" g部分门禁系统只认证IC卡的UID,利用这一情况,可以试试复制门禁卡的UID,看运气能否打开门。0 B3 u( X3 B4 i* E0 s: X
+ W1 Q( j6 n7 G& i' o. l4 \在已root的情况下,直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。
( U# V; a, i- g在未root的情况下,使用小米系统自带的门卡模拟功能,出于安全考虑,是不能对加密卡进行任何操作。手机的NFC,理论上可以读加密IC卡的UID,因此可以使用第三方软件MifareClassicTool读取UID,因为没有root,不能写手机NFC,但可以写IC卡,因此还需要一张CUID卡(不能使用UID卡),某宝上一块多一张,思路就是先读取加密卡的UID,再读取CUID卡的数据,然后将CUID卡的UID改为加密卡一样的UID,再将修改后的数据写回到CUID卡,最后用小米系统自带的门卡模拟功能,复制未加密的CUID卡即可。
2 S& A9 b$ W5 i
/ p1 R* A* W( K1.读取加密卡的UID7 }) h, _' G' ~& |% j
打开软件Mifare Classic Tool,将加密门禁卡放到手机的NFC感应区域,识别到IC卡后,点击“工具”->“显示标签信息”,可以看到加密门禁卡的8个数字,4字节的UID。
+ D. X8 I' v W1 X O3 |0 E' l& Y. q% J注意,在16进制里,每个数字为4位(2^4=16),8位(bits)为一字节(bytes),即两个数字组成一字节,这里8个数字,即为4字节(Bytes)。" P/ D' a- e6 S
前8个数字,每个数字代表4位,8位为一字节,8个数字就是32位,即4字节
( Q: ^* n7 I3 R( g H! X接着打开“工具”->“BCC计算器”,输入UID,得到1位BBC(两个数字)校验数据。! s. ?7 }6 ]: g
5 Q3 T6 \% w7 \1 L r! I1 E

$ V# t) O; O6 [' X% l6 Z4 |: l
+ c0 c6 U; o# d g2.读取CUID卡数据# J0 u* j& @. J0 {9 D* u" B0 t- p
将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“读标签”->“启动映射并读取标签”,即可得到CUID白卡的所有信息。
& l- M6 l; q% E1 U接着修改第一行的前10个数字,改为加密门禁卡的UID(8个数字)和BCC(2个数字),一共10个数字,并点右上角保存图标保存。" ~6 L0 q. O* F% N0 j
. }( p6 c( X- `. o9 x6 B7 u

* \3 d; T! E [9 Y z7 N
6 J+ K! p! K: z+ \3.写数据到CUID卡1 B2 f& }! N- L4 N* }
再将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“写标签”,勾选“写转储(克隆)”->“显示选项”->“高级:使能厂商块写入”。
b; N% M9 O1 n5 S9 i. L8 H再点击“选择转储”,选择刚才保存的数据,点击“选择转储”。; P: ~ a$ y! [. ^8 A
% k9 ]& d0 e6 V1 d6 a* N+ K( _2 X t9 T# y# u
" k7 j. D! L$ c/ Y- k% k! Y
在弹出的选择写扇区界面,默认即可,点击“好的”,最后点击“启动映射并写转储数据”。& F* U2 H7 G0 H- K
7 F, i+ G+ f8 ?" U5 Y
" E0 ?; M4 N) T8 Q
/ R1 |7 }+ R4 U/ }. [1 u5 [4.NFC手机复制CUID卡
' u3 o. F0 }6 l7 m最后,使用小米手机系统自带的门卡模拟功能,复制刚才写入新UID的CUID卡即可。4 q$ ]1 |' n7 R7 U! F) v
" X" ]. z0 s( {& X8 F; f: N接着,就看运气吧,我小区的门禁系统就只认UID,搞定。
7 ]4 g3 I8 _. S) j
. Y* a) U! _" J5 G1 n
$ ^" `4 }. o. M/ L& D. L4 N |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
