记录小米手机NFC模拟加密门禁卡,以及Proxmark3的使用。
. l4 E4 P% d/ P' g. o( F0 s% F- I g) [2 w1 W8 C
0. 缘起1 l& K4 r; E, S) @+ f) `
$ S9 b; u2 S- X7 `7 E/ _之前,小区用的门禁卡为非加密的门禁卡,使用小米手机系统自带的门卡模拟功能复制即可。
' L# I( P1 A, [( m1 s: f后来,小区门禁系统换了一家供应商,再使用之前的方法复制门禁卡,手机提示为加密卡,无法复制。/ b0 n( i; R; x' j! h" X+ }) t
8 C3 ~6 v* t8 U: v7 ~
新的门禁系统,更安全了,也支持APP远程控制开门了,直到有一天门禁卡丢了,开始使用APP开门,发现这APP写得烂透了,十次有五次点击开门按钮无反应,需要反复退出、打开APP多次才能点击开门按钮成功,还有两次直接没了开门按钮,提示到物业管理处处理……
; \( p8 ]4 r% x5 ~( Y那个时候,我又开始怀念用手机刷门禁的快感了。。
* j: M, R( X3 f0 M' b- D
5 Y6 T! P/ \& H9 Q" X/ H$ E/ d1. 基础知识9 O2 p8 A, V' ^8 d
" J& c5 W I$ C- [9 B' S
于是,我开始查阅资料,基本确定了小米手机是还是可以通过其它方式模拟加密门禁卡的。( R2 i1 Y$ P1 q7 S' ~$ c* \( s
然后,资料查多了,记不到,又怕以后用到需要重新找,干脆水一篇博客记录下来。' ?% W5 [9 y3 [
如果熟悉NFC和IC卡,或者只想模拟加密门禁卡,并不关心原理,这章可以跳过,直接看下一章。
* }7 E/ i2 a7 {/ J# ~
& g' Y9 d" u. N( ~1.1 ID卡和IC卡; H" B- \( H: Q* {2 H
( A' W# X& i" LID卡:全称身份识别卡(Identification Card),多为低频(125Khz),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。6 U! r1 a, X& `7 c
2 y- L' x$ R5 u! @5 g
IC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。
9 P+ t6 j/ x, G$ G) T( ]& N6 p$ \$ I9 h0 S2 B# |
主要区别:
! b y) r7 Y" [3 d+ H5 ]ID卡,低频,不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;
1 I) j5 u: m% P1 w- u* m* pIC卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等),IC卡所记录内容可反复擦写;7 ]8 a! ^' Y, {* J! n3 o
! ]3 n: \3 M. z4 i- Y
IC卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;" N1 c9 L: _0 Z& b; G( Z
9 d, |' F/ f2 c& [: ^9 g
. [5 ]8 P1 y/ e5 B+ x9 L- b
% j, X, L7 a! [, @$ Z' u+ D9 n* [) ~) V5 q4 z$ _( ?: F
1 R) Z, e. @' _
以上图片来自淘宝商家,网上找了半天相关资料,发现淘宝商家解释得最清楚。
" K/ Q4 |- V# @6 A8 e4 n5 w7 ?5 F: R3 K, b! P3 F
总结:
" t; z) `4 Z" }. X! R1.ID卡多为低频,IC多为高频;
% W r5 @0 T) g. w7 N2.IC卡整体上看比ID卡更有优势,市面上使用的大多数也是IC卡;
* b* P% r) I R- ]8 E3.对于矩形白卡,里面为矩形线圈、表面没有编号的多为IC卡,里面为圆形线圈、表面有编号的多为ID卡;" h# b/ w8 O) m/ F1 y
4.对于异形卡,有编号的多为ID卡,最好使用带NFC的手机进行测试(目前手机NFC只能读高频13.56Mhz),IC卡会有反应; V, f2 E0 p" B4 ]
# g( T( L' F. x' N& T/ Z8 ~1.2 接触式和非接触式IC卡
+ o" h8 }$ i( B
: @! c. u3 I6 A9 ]; R" B! mIC卡又可以分为接触式IC卡和非接触式IC卡。. M6 C% q& ]% Q q) d H4 x, ^( d
$ k5 V B& I" \5 }+ J) [接触式IC卡:该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写; Z4 E- o# @: C$ q) k$ E$ L
, Y5 v- P' q* _8 w( y5 @" e
非接触式IC卡:又称射频卡、感应式IC卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。3 u; V0 f) r. h* y" |; z
, b+ _. r1 @( ~6 H) q两者比较好区分,直接看卡上有无金属触点即可。; V. c1 w! Y4 D( B8 i
; S+ I5 |, C/ W9 D
% F; v, |5 J6 G* h9 U$ ~
7 ~# @* A9 {% C7 ^4 }3 v$ t1.3 RFID和NFC
; v; o) M( `' Z* c( j
7 T7 m6 N% [- e+ j非接触式的读写技术常见的有两种:RFID技术和NFC技术。
( o6 q' g, ]+ m1 w" Y e, J
7 {5 x7 t; Z" F! H$ SRFID技术:& s3 A, o6 l* H/ k* |/ v7 G, s" J
1.通常应用在生产,物流,跟踪和资产管理上;9 M( E+ N) ]$ I# f
2.根据频率划分包含低频、高频(13.56MHz)、超高频、微波等;
# K, S0 @# ^2 m+ m% N- ]; g. I3.作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;
* s6 C& j1 J5 G; v- N5 [4.读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;
2 r0 ~/ ^0 \( a! X& v
& b* N! f( w3 B, BNFC技术:& W& t' Q9 ~. Y) U6 r% b
1.通常应用在门禁,公交卡,手机支付等领域;
: U8 s' K0 @! R, d, b2.频率也是13.56MHz,且兼容大部分RFID高频相关标准(有些是不兼容);4 O0 x8 a, N; s$ L/ ~9 s' }4 ?/ H
3.NFC作用距离较短,一般都是0~10厘米;
" Y- T$ a; g0 L3 u6 r/ l5 ?4.读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;
' ]! I$ V- L2 F. G2 O& Z. b
3 x6 p0 a N' d* M. |总体来说,NFC是RFID的子集,但NFC有些新特性又是RFID所不具备的。
+ _3 {! G$ b+ F7 w( J; j
& n6 P, F( F# o, Q1.4 ID卡类型0 M1 }0 O5 d+ k+ h$ L5 S/ c7 d
' l0 S2 p" U& e7 g( r7 m6 c
ID卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:
8 c. G, p1 W2 r! M7 H4 D" f0 i) h
ID卡6 `6 b$ }1 F. h4 k7 i3 } W9 W
EM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;
) x) k: [7 n0 u/ i2 C1 }- T" g+ ]
, r% h$ |, }. y# S8 eID白卡
. s2 E& _% Y7 ? {( }) t& \EM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;
6 w* o3 ^' v# f ?4 w# }2 a$ PT5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡
0 W( T) ^* ^; n0 ^- y4 c: S
D0 \ i) A$ L0 SHID卡0 e" }/ Y6 e9 n. n
全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;+ _3 H. v5 e/ S! r! V' @. `8 k# c ?7 [
. ~0 @" M" @/ y0 c1.5 IC卡类型
( u, [$ ~9 o! W5 O! F0 S9 X) N/ t! e. c: a( Q
IC卡中最常见的是NXP Mifare系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:
8 |; r! @( Y3 f/ P0 U9 P" g0 M7 i6 `+ i/ M- J. S1 g
M1卡" x7 ]) `8 r p# `" h4 n) e& f
全称Mifare S50,是最常见的卡,出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡;
, w% d+ ~4 N6 \: M4 i1 s9 q9 a" K: ?" k$ N/ ?. B% d2 {- F, h% V
M0卡
6 R7 Y w& Q) k: N8 K( O! |全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;常用于地铁卡,公交卡;- Y* D+ W3 P0 ~- z+ x
D% P# S. B8 Z9 r; L以上两种固化了UID,为正规卡,接下来就是一些没有固化UID,即不正规的卡:+ s/ J- c4 K: d
! `# i6 H f- V) ^* EUID卡
% u3 Z1 F5 I( {; l7 C7 G U全称Mifare UID Chinese magic card,国外叫做中国魔术卡,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;# B" ~) O7 {6 |) I( E7 c
但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);9 m. {: o/ X) q4 g
7 \1 W- i x$ y: m1 A0 l
CUID卡
5 s& @3 C/ _+ ^8 S8 s9 |$ q为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;6 n) W7 \( _# P1 Q' F* h
近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天CUID卡会和UID卡一样面临着淘汰;$ D+ O Q0 Z+ r) D2 P" z
* K4 L2 Z! \5 M; X! T& fFUID卡, R$ ]' H7 v: E# D; N
FUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;
3 d6 \ ]1 L8 {) M但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
0 _3 @. U2 i* D' r$ E7 } m; C+ Q3 d9 R
UFUID卡" J7 i7 c& e' E0 j
集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。, c' y6 m- L5 m: e4 V( I
可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;, P/ ^( @* R7 T
6 s, j4 o, S" S* |9 f& N判断是M0卡(Mifare UltraLight),还是M1卡(Mifare Classic 1k),可以通过SAK值判断。! h* A. V( n9 `3 o
& |" L: z! d' L2 D8 n% [
产品ATQASAKUID长度Mifare Mini00 04094 bytesMifare Classic 1k00 04084 bytesMifare Classic 4k00 02184 bytesMifare Ultraligh00 44007 bytesMifare Plus00 44207 bytes. C- |% z7 Q; |% L ~& I! N
8 _) j; s; q; g1 `1.6 IC卡详细分析
U/ L1 P L1 W3 i( ^* n4 G; G% e% P6 s0 r1 h+ e* p! K) \$ R
1.6.1 IC卡存储器结构+ U0 e6 Y2 I8 X( B: u
' ^8 J1 y, \7 N; p X- p* _" U$ V
以M1卡为例,介绍IC卡数据结构。9 M, z( f) I: G w% T1 j4 O, ?
M1卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;7 O T0 Y- F) X# i2 x6 l* x, \7 x
每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;
( Q. j4 b1 V2 d, Q3 K" k8 L1 h. r+ b2 F; L" `+ I3 A# X

& r1 Z7 I+ D0 s- l+ {4 |9 j
3 D! M: d/ j* o) f厂商段 ]/ l3 W! b1 N
每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。+ A: t1 b6 t4 m/ n6 S- B! V
其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,剩下的是厂商数据。
8 Y& B: P% a& U并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。. Y. d9 W6 }' O9 U" c+ }
) b, g. r& p# a9 s8 @$ [7 B
( z0 U" p( F p) H7 ~; V" _
( I2 Y+ G. G( a; b4 E3 v/ B; F数据段' n6 }- v" X9 ]7 q4 x9 i7 L
除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。
3 b: Q( \' v X7 h数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。' V9 N* W8 _7 I+ @. v" O
值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复,值段格式如下:+ v- u# a1 V- T& k% a
$ W. D r1 |+ ]& q4 o. Q3 L8 B) F
' J# U2 z- ^4 n% o2 ~$ k& K0 f" E6 o4 D! P4 t* O
Value表示一个带符号4字节值,为了保证数据的正确性和保密性,值被保存了3次,两次直接保存,一次取反保存。该值先保存在0字节-3字节中,然后将取反的字节保存在4字节-7字节中,还保存了一次在8字节-11字节中。1 e0 n# v$ h! Z+ P8 m) F5 j9 q( Y
Adr表示一个字节的地址,当执行备份管理时用于保存存储段的地址。地址字节保存了4次,取反和不取反各保存了2次。在执行加值、减值、恢复和传送等操作时,地址保持不变,它只能通过写命令改变。
- @, B- ?, K# {- h+ t* I$ t2 @" u/ v# y. H4 j v
控制段
$ |* |* J4 E1 ^- b! E9 J每个扇区都有一个区尾控制段,它包括密钥A和密钥B(可选),以及本扇区四个段的访问控制位 (Access bits);访问控制位也可用于指出数据段的类型(为读/写段还是值段);控制段的存储格式如下:+ |" w6 I$ ^$ p9 [# ~' A, P8 \
/ @8 f1 r9 L, C/ V0 L
: q1 r) l( C- h; g. ]! U
* L) ]6 o2 c4 x: E2 T
如果不需要密钥B,那么区尾的最后6个字节可以作为数据字节,用户数据可以存储在区尾的第9个字节,这个字节具有和字节6、7、8一样的访问权限。& h' R9 `/ Y# Q6 b6 n( ~
( ^! p7 C% ?8 i
1.6.2 IC卡访问存储器
2 ~8 v1 R4 S! b6 X
" {/ ^5 F: z- `8 K8 C% }. n数据段支持的操作
2 e6 }! ]) I$ b+ Q* x) d根据使用的密钥和相应区尾访问条件的不同,数据段所支持的存储器操作也不同,存储器的操作类型如下:
" Q2 C3 ~$ d" P) C. r, I5 z l
( m7 y5 d- b+ q% d4 {9 R* I$ q# ^
+ n) x, }5 G8 V) H, n) i可以看到只有作为值段时,才能加、减、传送、恢复。
5 W. D& V2 I1 @; @- M# y
& F# v6 z8 y9 g* C$ M7 A. [1 L各区的访问位定义
+ v$ P$ j m. F每个数据段和区尾的访问条件由3个位来定义,它们以取反和不取反的形式保存在区尾指定字节中。: D1 s! ~' `# H8 R5 _
访问位控制了使用密钥A和B操作存储器的权限,当知道相关的密钥和当前的访问控制条件时,可以修改访问条件,各区的访问位定义如下:
* @; [" _7 B0 v3 K/ T
1 s& H5 D! v) W/ o1 E
3 l2 a- H0 W5 b0 {8 i3 f5 B( B
) @2 W3 A+ s h% M访问位在区尾的存储形式; t' o* k w, t
3 y2 z5 X4 m. C1 w. n9 M* F
- f* E* Q- S; |4 T+ @
# ^* {% x" g( ]0 m# Q# h6 ^6 s; }
区尾的访问条件* |- T5 w& Z0 W
根据区尾(段 3)访问位的不同,访问条件可分为 “从不”、“密钥A”、“密钥B” 或“密钥A|B”(密钥A或密钥B),区尾的访问条件如下:
/ Y- y5 h* n$ [, h# {
' x' e0 t8 W1 ?1 T s9 q4 D
7 `: R. e0 J/ @! r
k2 M. p5 e% |; m/ S3 z$ R用灰色标明的行是密钥B可被读的访问条件,此时密钥B可以存放数据。
. S0 S5 ~1 R5 ~0 `9 F例如:当段3的访问条件C13C23C33=100时,表示:密钥 不可读(隐藏),验证密钥B正确后,可写(或更改);访问控制位在验证密钥A或密钥B正确后,可读不可写(写保护);密钥B不可读,在验证密钥 B 正确后可写;: O8 ]/ _# W5 a! Q( O/ O- e
又如:当段3的访问条件C13C23C33=110或者111时,除访问控制位需要在验证密钥A或密钥B正确后可读外,其他如访问控制位的改写,密钥 A,密钥 B 的读写权限均被锁死而无法访问; d/ z8 Y r2 L
' l: E/ q9 ]: g9 f" a+ B3 i
数据段的访问条件
+ s) v1 `5 u W6 t& r& G根据数据段(段 0-2 访问位的不同,访问条件可分为 “从不”、“密钥A ”、“密钥B ” 或“密钥A|B”(密钥A或密钥B)。
% t4 j6 ]/ x" h9 z相关访问位的设置定义了该段的应用(或者说数据段类型)以及所支持的应用命令,不同的数据段类型可以进行不同的访问操作。 读/写段可以进行读操作和写操作。值段可以进行加、减、传送和恢复的值操作。
& ^2 ~: ?0 U+ H其中一种情况中(001)只能对不可再充电的卡进行读操作和减操作,另一种情况中(110)使用密钥B可以再充电。 厂商段无论设置任何的访问位都只是只读的, 数据段的访问条件如下:$ D3 l# q# Y9 E( O. Y* m
% u% J' p, _8 H& i+ l! u! I0 Q. S [3 @9 }& Y7 v4 R3 ?
6 b) E& y. n ?, C5 T如果密钥B可以在相应的区尾被读出,它就不能用于确认(在前面所有表中的灰色行)。如果读卡器要用这些(带灰色标记的)访问条件的密钥B确认任何段,卡会在确认后拒绝任何存储器访问操作。/ B% q: E$ s4 V3 ]- H# K
+ p- w# V; W5 E. K; S
1.6.3 举例说明8 O1 F n6 B$ C H$ N' Q
/ A% D7 s2 Y e+ }* ]Mifare S50出厂时,访问控制字节(字节6-字节9)被初始化为“FF 07 80 69”,KEY A和KEY B的默认值为“FF FF FF FF FF FF” ;5 B* E( D' \) n O$ k G& V
字节6为FF,二进制为1111111;字节7为07,二进制为00000111;字节8为80,二进制为10000000,如下:) |3 W3 \: y7 }: R- @
; m+ e9 w8 Z! s# k7 Q$ x

) h* P+ ?2 O+ O
, |+ X+ c/ b$ a. j* `% N, _3 }对照前面的访问位在区尾的存储形式图,可得知访问控制位为:) N5 @, ^' g. g9 s
C10C20C30=000;C11C21C31=000;C12C22C32=000;C13C23C33=001。
: Y, P, G. S1 ?' l* k1 Z& n+ L1 g% P. x
C10C20C30、C11C21C31、C12C22C32对应数据段0、1、2,参考数据段的访问条件图即可得知该段三个数据区的访问权限;, c: U, x3 J7 w [2 x$ ~
C13C23C33对应区尾(段 3),参考区尾的访问条件图即可得知该段的访问权限;) ?6 F9 z3 A- b- O
6 E$ i9 G: a! R0 M6 u! m6 l
块0控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;$ w* k7 }7 h5 R
块1控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;( h) w) c1 D5 s/ d- W
块2控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
! X: Q* D! H6 e块3控制位为:0 0 1 权限为:A密码不可读,验证A或者B密码后可改写A密码;验证A或者B密码后,可读可改写存取控制;验证A密码或者B密码后,可读可改写B密码;
: \) ?/ N4 @) R+ C) O7 S1 t0 h
$ W( N# Z5 n2 F* b这样每次换算还是有点麻烦,可以使用M1 S50卡控制字节生成工具快速换算:
! U, p8 X0 f/ s. c! z
4 s d) O# A; f D% d* o I/ N9 e. H% E7 x, O
5 D0 l" ]/ U5 ]# U最下面一行可以输入想解释的控制字,也可以根据上面的设置生成控制字;' | X$ o# i) z2 m. A8 W7 w0 h
最上面一行,左边是数据段0、1、2的访问控制位,右边是对应权限所需要的秘钥;1 [4 F+ E8 \" c M
中间的一行,左边是区尾的访问控制位,右边是对应权限所需要的秘钥;
0 i: E9 e K+ k4 b R, v3 T5 I" \. N. |9 n0 [) l
1.7 非加密IC卡和加密IC卡4 U% I" \ v. e+ {$ ]
7 F3 \/ L4 H2 c8 x6 P! C非加密IC卡和加密IC卡的区别就是,非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;
% h! U/ T& H* N% u而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。
+ l/ K8 p/ Q$ l' U X: @- i; c( p; I) h/ Q: W0 G. [! a
一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如Proxmark3读取。
7 f, y' v, j; {) I% g; Q2 L
& `+ V+ Y# `0 b7 { _2 e对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。6 {( b/ k0 F5 t4 b0 s
因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都有服务器定期校验,得先搞定服务器再说,难度高还违法。, J& [% w% u; g% v
) _/ @. e& J$ |; `参考资料:% E1 b9 U9 ]; k. a
码农生活 篇二:IC卡门卡模拟探秘. A3 H6 {! g% t& Y8 Z& |- \4 \% d" n
IC卡简介【M1/S50,UID,CUID,FUID,UFUID复制卡介绍】
+ p; I3 _6 U+ g. R3 c$ q谈谈 Mifare Classic 破解( ~3 r" H0 Q: {1 X+ `- M
rfid-practice, s& J v" \$ e" h
Type A 卡存储结构与通信
" m8 O6 `% i) H$ N; H- GProxmark3 Easy破解门禁卡学习过程4 F, M( w9 t8 I1 v5 d/ O: P
, w( X- v1 _+ d2. 手机NFC模拟加密门禁卡
9 p* E8 z, K4 {+ L+ W
& H. D" q5 X) t* Y) \; m: r有了前面的知识,再来看现在我的加密门禁卡情况,手机能识别为加密卡,肯定是IC卡。" h. l' F/ o- L) J b" X
, x. d. O, d# v
首先,加密卡在目前这个情况下是无法解密的,如果按照下面的操作失败,请参考下一章。
- v% u1 @" J- U/ `+ V; B+ q1 b. r部分门禁系统只认证IC卡的UID,利用这一情况,可以试试复制门禁卡的UID,看运气能否打开门。3 L: H8 p, {; S# r: r r7 H
* @# B1 U, y- J% w/ G8 D& Z* v在已root的情况下,直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。& ]- z5 t' N& s6 z* n
在未root的情况下,使用小米系统自带的门卡模拟功能,出于安全考虑,是不能对加密卡进行任何操作。手机的NFC,理论上可以读加密IC卡的UID,因此可以使用第三方软件MifareClassicTool读取UID,因为没有root,不能写手机NFC,但可以写IC卡,因此还需要一张CUID卡(不能使用UID卡),某宝上一块多一张,思路就是先读取加密卡的UID,再读取CUID卡的数据,然后将CUID卡的UID改为加密卡一样的UID,再将修改后的数据写回到CUID卡,最后用小米系统自带的门卡模拟功能,复制未加密的CUID卡即可。
6 N% K2 H! J8 Q% L1 j- W* k9 ^! O" U! b8 B& B& R1 X
1.读取加密卡的UID
w! W( U- X5 c/ }$ E4 D打开软件Mifare Classic Tool,将加密门禁卡放到手机的NFC感应区域,识别到IC卡后,点击“工具”->“显示标签信息”,可以看到加密门禁卡的8个数字,4字节的UID。" Q V- Y/ H6 R$ O8 y% G: j" R
注意,在16进制里,每个数字为4位(2^4=16),8位(bits)为一字节(bytes),即两个数字组成一字节,这里8个数字,即为4字节(Bytes)。
) b; k' C) ^5 Z4 q前8个数字,每个数字代表4位,8位为一字节,8个数字就是32位,即4字节- a0 G E; ^3 l8 f" c; g' u7 u0 L
接着打开“工具”->“BCC计算器”,输入UID,得到1位BBC(两个数字)校验数据。" d( M! v* G' l& O1 \8 i: |
/ W5 y7 V6 j+ }7 B# v. n
D( t6 `1 v, k7 a0 Y3 }9 B. U7 c+ e
2.读取CUID卡数据3 U8 G$ l& T# f7 Y3 b
将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“读标签”->“启动映射并读取标签”,即可得到CUID白卡的所有信息。, G# _3 p$ ^; r
接着修改第一行的前10个数字,改为加密门禁卡的UID(8个数字)和BCC(2个数字),一共10个数字,并点右上角保存图标保存。
F! y0 H: q8 I- ^% z+ O: Z$ A5 H( y, M. x
; O( ] _7 `" ]+ x1 t2 k8 V1 u% h6 K
9 P3 K; r( |1 K$ B& P
3.写数据到CUID卡
* N) p' D# `2 c. a' T6 V* U7 H再将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“写标签”,勾选“写转储(克隆)”->“显示选项”->“高级:使能厂商块写入”。5 F; Q& m; F/ X
再点击“选择转储”,选择刚才保存的数据,点击“选择转储”。
+ ^' f; B% r( ]! [ a2 Y7 Y/ f( ]' `0 M. J* b+ U
. y5 I& M) I" U0 o8 ^
, O+ q, e; |' ^* ?# o3 j
在弹出的选择写扇区界面,默认即可,点击“好的”,最后点击“启动映射并写转储数据”。- T; s4 v/ [- b1 Z5 O- Q" L: e
9 @, B( l3 G, [3 X! l* a- [- v4 E% O5 A, z. T* w
+ {9 h$ n- x: s5 p
4.NFC手机复制CUID卡
% l+ o) T1 Y( V最后,使用小米手机系统自带的门卡模拟功能,复制刚才写入新UID的CUID卡即可。8 F" c+ P$ @, f
1 q. x( a1 Z l7 [1 c3 \* E接着,就看运气吧,我小区的门禁系统就只认UID,搞定。
" {7 c2 W) t9 W- v5 w
) n( v& t7 d" H5 ?8 o: d
1 M5 {+ {' Z1 f% z( W |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
