记录小米手机NFC模拟加密门禁卡,以及Proxmark3的使用。6 M* K6 z0 J8 U |% c& H' y9 g! d
) i% H4 v) b1 J- M7 U( y+ b
0. 缘起
* ?2 u, D: p0 J9 I8 f7 k3 o# k# Q
之前,小区用的门禁卡为非加密的门禁卡,使用小米手机系统自带的门卡模拟功能复制即可。& S. C: P; _) A5 z+ n+ |: z& o
后来,小区门禁系统换了一家供应商,再使用之前的方法复制门禁卡,手机提示为加密卡,无法复制。
0 y) {- L: I! L- t' o, F ?9 [, H
新的门禁系统,更安全了,也支持APP远程控制开门了,直到有一天门禁卡丢了,开始使用APP开门,发现这APP写得烂透了,十次有五次点击开门按钮无反应,需要反复退出、打开APP多次才能点击开门按钮成功,还有两次直接没了开门按钮,提示到物业管理处处理……# i, W2 q. z k t& a, H. @3 H# W
那个时候,我又开始怀念用手机刷门禁的快感了。。
' V* I% r' w& O/ R. o m+ N" G) A. U0 w% ~$ g3 s3 _3 y
1. 基础知识
: O- G+ |8 X5 E3 R' L) c- W& [ a8 }# U" m* R
于是,我开始查阅资料,基本确定了小米手机是还是可以通过其它方式模拟加密门禁卡的。
, l0 j* O& {$ e) t7 G+ Q, i然后,资料查多了,记不到,又怕以后用到需要重新找,干脆水一篇博客记录下来。
' M0 t9 m# L2 ~: J' ~: n如果熟悉NFC和IC卡,或者只想模拟加密门禁卡,并不关心原理,这章可以跳过,直接看下一章。( c1 V7 ?9 K# [" g9 T5 |7 C0 j
/ ^' q* J% D6 v1.1 ID卡和IC卡( Y Z* }+ L% U: J
1 y3 E* Y; B+ D" \5 p* ^
ID卡:全称身份识别卡(Identification Card),多为低频(125Khz),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。, {# N- K* g' z1 ^- P! c
$ g) @6 E/ B4 @+ K# ~1 h
IC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。0 G- V3 c) C3 k$ G; i* k/ l
) @/ V! Z& t/ W9 k. P
主要区别:
( @' q% Y8 P8 F4 CID卡,低频,不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;
& Y+ N9 h2 B' g9 c/ y3 f: `9 p4 rIC卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等),IC卡所记录内容可反复擦写;4 x( T+ S8 t9 `3 l5 s
|9 X; `( w( A; _
IC卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;6 V& N. |8 }: [/ Y7 j3 i5 x% t7 |
3 N8 \; i& E8 G* d6 Z: `
( W! J! c+ V2 ]- v* Z
1 L$ R8 o8 m; ^( b" T" r# S- ~9 ^8 F2 }5 C/ ^/ P" e
( o0 W( m$ S/ h7 N6 ^- P# @1 v" Q$ g# T0 J以上图片来自淘宝商家,网上找了半天相关资料,发现淘宝商家解释得最清楚。
* w* U! |$ L! t' Z4 @% A; k$ h) K* o4 g
总结:
1 b; v% B. N* M- Z1.ID卡多为低频,IC多为高频;
. L, ]5 F# x$ W, h2.IC卡整体上看比ID卡更有优势,市面上使用的大多数也是IC卡;
; N9 F% y1 ^; E3.对于矩形白卡,里面为矩形线圈、表面没有编号的多为IC卡,里面为圆形线圈、表面有编号的多为ID卡;
* f F8 H6 L# O$ c- \+ D( O+ ?4.对于异形卡,有编号的多为ID卡,最好使用带NFC的手机进行测试(目前手机NFC只能读高频13.56Mhz),IC卡会有反应;
; C6 v" t6 \$ F/ z
% L! v8 b6 m8 _- b* T3 C N1.2 接触式和非接触式IC卡
- v# @5 y+ W) \, f6 A4 e- w" f1 Q9 N5 k( e
IC卡又可以分为接触式IC卡和非接触式IC卡。
$ M4 _' G- y$ P% s& g* Y/ M4 b3 a+ J; L; x% I: R/ ]& ]
接触式IC卡:该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写;
) w, j, v* R, E% ~/ q E2 I2 c. a6 B) m m
非接触式IC卡:又称射频卡、感应式IC卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。
8 n5 Y% L5 D3 W9 L: Z; h3 d+ M+ h1 @3 [8 _- |5 O0 t9 {. T1 H+ a0 x n& ]
两者比较好区分,直接看卡上有无金属触点即可。
P# e+ ?1 Q: w7 S' {/ G3 E' S5 ~; Z8 d
1 l' } h! Q1 o4 X: n, p
p8 j3 k8 y' n
1.3 RFID和NFC
- G+ q2 X& M! Y j9 }1 b$ D) n5 H Z% W2 D/ z0 T8 E- A5 Z) U& j
非接触式的读写技术常见的有两种:RFID技术和NFC技术。7 {( ]9 Q9 A5 m: j' G
' e9 C8 V- g% c7 Z5 C9 IRFID技术:; i1 ~) u+ g8 `1 s! ?
1.通常应用在生产,物流,跟踪和资产管理上;1 g4 @* W; E$ L6 @. L
2.根据频率划分包含低频、高频(13.56MHz)、超高频、微波等;' V) a' }: i7 }
3.作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;0 C* {4 o$ \7 S7 n& k3 C s* N
4.读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;6 o5 @4 ~* t: A+ z- u+ U
% s3 s9 X9 ~! Q' b
NFC技术:4 a3 l% k6 |: y* h$ x) B& n
1.通常应用在门禁,公交卡,手机支付等领域;. U# g, t% [ P# r+ o
2.频率也是13.56MHz,且兼容大部分RFID高频相关标准(有些是不兼容);
8 Q5 `8 _* \* f/ r. d3.NFC作用距离较短,一般都是0~10厘米;
6 k7 G) b) ^" a! \- w1 n) A/ ^. M4.读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;) v; n7 ]! L! D, ?+ W( V* T# _5 \: g! N
4 o9 z7 v7 D j' T1 s总体来说,NFC是RFID的子集,但NFC有些新特性又是RFID所不具备的。
6 t4 N2 j) O3 Y/ `4 Z# t
3 W" n* w, X( X9 W% {1.4 ID卡类型
W8 {$ p# |0 Y% ?# E( u3 T! g: R+ y; |2 E& Z# b4 @
ID卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:
d% J7 Z6 b1 p/ }4 \2 p p- b' ?& C' p- \' i$ [+ K9 _ x5 {5 l) L
ID卡. `2 C- J3 r! r# f1 U9 F
EM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;
4 U- `( @2 }" l, K6 f
) ~$ ]5 S( |7 PID白卡
+ d) X/ M+ l8 GEM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;
2 `( Z' b; i: {T5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡
% o ~9 i. ]( A% m* ~) u
: n, C' K: B# fHID卡
/ m" _1 c a7 |全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;& F. V( b: K9 Q0 D
& F! F& U' i$ p Q% C1 f1.5 IC卡类型0 d$ E4 g! }* A4 r# B5 r9 f
[. z( B8 P1 L! h. D7 }2 ?, VIC卡中最常见的是NXP Mifare系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:2 R- M. t$ b' u( X% G
; v5 E1 I$ _/ V9 |* K
M1卡% [( i0 n @2 ]. t+ k
全称Mifare S50,是最常见的卡,出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡;8 p! A+ E* d" t ^( Z
+ X; p; w9 ]8 b: \) t8 L* r8 u* Z) qM0卡5 O! Z* X( F% n) L# w
全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;常用于地铁卡,公交卡;+ u9 k3 c% Q R, K4 F
" {, m; T2 w; T6 u9 }% h6 P# m
以上两种固化了UID,为正规卡,接下来就是一些没有固化UID,即不正规的卡:
& P1 Y" B2 Q& B0 n& I h
* y+ h0 h, T, H R% C# EUID卡
2 l, g& Q. b+ T' P G* B全称Mifare UID Chinese magic card,国外叫做中国魔术卡,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;( p) e) s2 _, a* M' B
但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);$ N8 `0 y5 j, J+ W1 i. Q$ _
1 ^* [+ U/ L# X6 A# n% ^
CUID卡
: L! a! }9 ^& S+ \为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;
3 i9 L' T$ d3 G4 }+ s7 {8 {3 O近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天CUID卡会和UID卡一样面临着淘汰;$ K4 Q- \7 o9 [, ~) f2 r6 U
8 R1 Q. U5 z" ^' E f
FUID卡
) n8 d$ f( Q8 `0 u0 C8 w7 @/ FFUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;
. A$ L+ i* M9 {, A2 h0 r$ z" }' I但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
3 Z9 n4 e4 o) B( Y2 M+ Z- ?% s& s. c. L4 Z. _. o* \3 o
UFUID卡5 } M% [% n0 K
集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。/ o/ S$ b/ h$ T; Y5 N3 `
可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;3 G4 n9 x( P, Q) Z
0 h0 S2 f+ N! M) T L判断是M0卡(Mifare UltraLight),还是M1卡(Mifare Classic 1k),可以通过SAK值判断。: K% F4 X5 U/ ] w3 h, S
# q' y4 K0 {: b
产品ATQASAKUID长度Mifare Mini00 04094 bytesMifare Classic 1k00 04084 bytesMifare Classic 4k00 02184 bytesMifare Ultraligh00 44007 bytesMifare Plus00 44207 bytes2 w& _0 d( B1 p" p& _
4 R/ ~ o# t0 d- o1 ?, @" u' k1.6 IC卡详细分析) V o* _1 P& w" t' B* R
/ }; G! t& E+ q" j4 ^2 j
1.6.1 IC卡存储器结构. q- D! R3 m! x; ^' e8 c' R4 _
7 L& l% `; j! b. ]
以M1卡为例,介绍IC卡数据结构。! K. q: [, W- l
M1卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;
8 N. A& Q1 C/ ]8 o每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;& X, [* W( V5 v! Y: q" {
3 r) `2 U- ~! O) p" @6 U. v
5 b/ V. s+ ~1 D7 q: `& r* u; q, v& V
厂商段
7 a5 T$ R1 c+ E! d3 @% H* \, A5 |每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。' \9 t! X2 M: w4 g8 ?. I
其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,剩下的是厂商数据。# x8 E8 |9 a& J4 k5 r
并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。
4 {# m1 r6 |5 ?* i# O3 D. o0 W1 A8 ^( A9 A. Y& [6 G, m

6 a1 t6 E! ^* g3 E9 A
1 n# [3 R& b2 J; x5 w# K数据段# @4 `1 a4 f1 C* w
除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。
4 A3 S) q4 k, z P5 q1 G; u数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。. x3 J! S" ?5 Z T; g% E9 F7 R" k
值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复,值段格式如下:
" }5 }+ c; W- z6 V: S+ G, Q6 ^5 y2 Z0 k3 q2 ~8 }
1 _- P/ l7 b' W m! w
. z8 S3 c( l1 \# E8 [1 A: Q$ pValue表示一个带符号4字节值,为了保证数据的正确性和保密性,值被保存了3次,两次直接保存,一次取反保存。该值先保存在0字节-3字节中,然后将取反的字节保存在4字节-7字节中,还保存了一次在8字节-11字节中。
: P6 ]: v6 K1 ~9 mAdr表示一个字节的地址,当执行备份管理时用于保存存储段的地址。地址字节保存了4次,取反和不取反各保存了2次。在执行加值、减值、恢复和传送等操作时,地址保持不变,它只能通过写命令改变。
! M/ b" R% V# S# f7 l/ P
* h' W/ }7 D; R& l控制段! W0 s$ l ~ n+ F+ N2 \+ p
每个扇区都有一个区尾控制段,它包括密钥A和密钥B(可选),以及本扇区四个段的访问控制位 (Access bits);访问控制位也可用于指出数据段的类型(为读/写段还是值段);控制段的存储格式如下:% q6 G' n7 |5 G& J7 ?
6 C6 Z3 ~6 z3 Q& F& h9 z( u. m
7 Q5 r1 R2 R* Z9 o8 m; d
: j8 _" I( Y1 {/ h# r, ^/ j
如果不需要密钥B,那么区尾的最后6个字节可以作为数据字节,用户数据可以存储在区尾的第9个字节,这个字节具有和字节6、7、8一样的访问权限。1 y: z+ O3 g3 {" {7 m: B# G
! r% n2 u# I% Y5 Y
1.6.2 IC卡访问存储器* x5 Q6 _* }- K Z
$ f$ @( q- F5 P% C) z/ C! }数据段支持的操作2 s! x; B2 h( U- k
根据使用的密钥和相应区尾访问条件的不同,数据段所支持的存储器操作也不同,存储器的操作类型如下:* @7 e) Y4 o% P' @7 v
1 p, e' F8 ^" a% _# `2 X

) V, g1 h7 F( q1 H7 s6 @
* u" Z3 _8 Y# c, o) Y0 l7 o可以看到只有作为值段时,才能加、减、传送、恢复。' V, [/ a2 J) t$ X
G) \, X6 j& F" R( h8 C各区的访问位定义
& W& S' M' i6 O N2 R% N9 m3 C每个数据段和区尾的访问条件由3个位来定义,它们以取反和不取反的形式保存在区尾指定字节中。4 n/ V2 B1 v6 X9 I, ^# _
访问位控制了使用密钥A和B操作存储器的权限,当知道相关的密钥和当前的访问控制条件时,可以修改访问条件,各区的访问位定义如下:1 G/ ^5 `! e6 t- I5 d; a
$ j/ w5 H6 K5 o

" c8 D6 Y) I4 _ C; u! ^! X$ R: V" Q, z' ]% A, q; L
访问位在区尾的存储形式
0 n( [/ `' e/ b' }& C6 i
- z+ U/ r g/ k3 _( C( D3 Y0 O6 o7 Z- H; _
+ l4 e$ R" {/ p# ?% U6 n/ h: T$ j区尾的访问条件8 W4 e s( [6 D& h0 v' e+ A
根据区尾(段 3)访问位的不同,访问条件可分为 “从不”、“密钥A”、“密钥B” 或“密钥A|B”(密钥A或密钥B),区尾的访问条件如下:9 p' ~3 f$ i' Z$ q
8 A; C( I. G0 o

2 O* ]# }5 M2 B4 z7 V# G8 y5 F
用灰色标明的行是密钥B可被读的访问条件,此时密钥B可以存放数据。. l) x& `) Z `1 B
例如:当段3的访问条件C13C23C33=100时,表示:密钥 不可读(隐藏),验证密钥B正确后,可写(或更改);访问控制位在验证密钥A或密钥B正确后,可读不可写(写保护);密钥B不可读,在验证密钥 B 正确后可写;( X& p- m( N" @% t
又如:当段3的访问条件C13C23C33=110或者111时,除访问控制位需要在验证密钥A或密钥B正确后可读外,其他如访问控制位的改写,密钥 A,密钥 B 的读写权限均被锁死而无法访问;
2 K+ N, b9 a K+ y% @6 L
]) a7 q! p( W' V0 q4 U1 ]! \数据段的访问条件, L. Q" [7 s% \( B1 S
根据数据段(段 0-2 访问位的不同,访问条件可分为 “从不”、“密钥A ”、“密钥B ” 或“密钥A|B”(密钥A或密钥B)。2 ]( x* J# S/ {9 n7 S9 x- l
相关访问位的设置定义了该段的应用(或者说数据段类型)以及所支持的应用命令,不同的数据段类型可以进行不同的访问操作。 读/写段可以进行读操作和写操作。值段可以进行加、减、传送和恢复的值操作。
2 a) }5 x% ]- P* o; x其中一种情况中(001)只能对不可再充电的卡进行读操作和减操作,另一种情况中(110)使用密钥B可以再充电。 厂商段无论设置任何的访问位都只是只读的, 数据段的访问条件如下:9 H ?6 \' I+ b1 d* L: ]
6 h; A M% U5 m2 |3 o, c; X

9 {9 {' v/ a9 F# V8 q
! f$ n5 L4 F c如果密钥B可以在相应的区尾被读出,它就不能用于确认(在前面所有表中的灰色行)。如果读卡器要用这些(带灰色标记的)访问条件的密钥B确认任何段,卡会在确认后拒绝任何存储器访问操作。& m% I. G# e: G6 T) l! g
( V+ I2 v* W W1.6.3 举例说明
9 S' R- H' C; _" [ s1 F
4 Z# j% Q1 e0 H& q, ^! L2 e; MMifare S50出厂时,访问控制字节(字节6-字节9)被初始化为“FF 07 80 69”,KEY A和KEY B的默认值为“FF FF FF FF FF FF” ;
* ?) ~: d: J% J. ~7 b% G0 b/ D字节6为FF,二进制为1111111;字节7为07,二进制为00000111;字节8为80,二进制为10000000,如下:: n3 a8 `1 ]( g( u- z' Y4 I/ g
1 F6 U/ g+ m$ a- D8 i
6 P4 f0 \3 v7 a7 h. I$ E
) w3 S; }1 Z* w4 ~5 k8 }对照前面的访问位在区尾的存储形式图,可得知访问控制位为:
" D8 F% w" t+ U' J) g. bC10C20C30=000;C11C21C31=000;C12C22C32=000;C13C23C33=001。 H, }# {7 M& Q8 o9 \9 w0 Y/ P
: S0 h5 f+ g6 K) ~C10C20C30、C11C21C31、C12C22C32对应数据段0、1、2,参考数据段的访问条件图即可得知该段三个数据区的访问权限;
- \! Z/ _0 N: a# x& r' K' W6 GC13C23C33对应区尾(段 3),参考区尾的访问条件图即可得知该段的访问权限;
- A1 Y, d/ k, ~( Z
- n6 A, O2 }/ K8 l. m, I- |, b5 w块0控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;& _! h$ n( `: b: X2 }
块1控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
& Q3 c# H" Y2 n# K/ {' C' y6 d+ E, j块2控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
0 \5 x4 ~& k0 p8 s) ?; y9 g块3控制位为:0 0 1 权限为:A密码不可读,验证A或者B密码后可改写A密码;验证A或者B密码后,可读可改写存取控制;验证A密码或者B密码后,可读可改写B密码;- ^" ~7 K" D1 l3 J( E
" q; s( @& O2 [3 N这样每次换算还是有点麻烦,可以使用M1 S50卡控制字节生成工具快速换算:
5 d- R4 _, X b6 t" i' K, A7 H8 o; Q- }1 W3 O
! `' W8 \9 t0 N. R
4 d0 `: A0 {4 K4 T; s" m
最下面一行可以输入想解释的控制字,也可以根据上面的设置生成控制字;
5 Y( F4 V( a& `! n; Q最上面一行,左边是数据段0、1、2的访问控制位,右边是对应权限所需要的秘钥;
D6 E: l, v) W' ^9 a) M6 S6 N中间的一行,左边是区尾的访问控制位,右边是对应权限所需要的秘钥;
0 { P3 l6 d. V R. y7 i6 E$ Z) N1 T0 c. y- C- C0 _8 B' E
1.7 非加密IC卡和加密IC卡
& G g' e. I2 c) X) A
( H5 z/ E2 V5 |! ~非加密IC卡和加密IC卡的区别就是,非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;2 O" s+ \: V5 C6 l! \! r6 Q
而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。6 Z) Z; R) {0 R9 d p
. Q0 w1 W' x/ z
一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如Proxmark3读取。9 {7 Q( d! y! C, e# ^$ u7 F" u- d( p
% F( x' |" e; w# B& A对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。8 ?8 p! e$ f) K" U+ b
因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都有服务器定期校验,得先搞定服务器再说,难度高还违法。 o% ~$ B8 H8 V2 ?
8 G$ i& u# {$ c( q参考资料:3 n2 ^% k/ P; H; b
码农生活 篇二:IC卡门卡模拟探秘5 g; Z" Z6 a8 F- K1 O% h
IC卡简介【M1/S50,UID,CUID,FUID,UFUID复制卡介绍】0 j' P& x3 B" l' Y9 q
谈谈 Mifare Classic 破解
6 B% U3 J0 a" b4 {0 d7 Jrfid-practice
f5 |2 z M# _+ @! o3 KType A 卡存储结构与通信3 e" V1 X% o0 E0 }: |4 K- h
Proxmark3 Easy破解门禁卡学习过程
& O# y/ T; P! _; P6 [: n
- G; A( B+ P: R; I9 K0 j5 X" n- [! W4 A2. 手机NFC模拟加密门禁卡* u) p0 z& \8 Q- P
+ }2 }$ N s7 I! I/ {5 u. H. E有了前面的知识,再来看现在我的加密门禁卡情况,手机能识别为加密卡,肯定是IC卡。! |# A% G- d0 y% W
1 l9 L# P: d, N首先,加密卡在目前这个情况下是无法解密的,如果按照下面的操作失败,请参考下一章。
: T1 }& z) T$ E2 I1 B) Y- w2 H/ V5 K2 _部分门禁系统只认证IC卡的UID,利用这一情况,可以试试复制门禁卡的UID,看运气能否打开门。
: t9 j( X8 ]' A- }, I0 T
" B, Q- h3 D+ Q* I在已root的情况下,直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。
& E8 P. j! Z8 g( N' r6 p2 \4 W2 |0 x在未root的情况下,使用小米系统自带的门卡模拟功能,出于安全考虑,是不能对加密卡进行任何操作。手机的NFC,理论上可以读加密IC卡的UID,因此可以使用第三方软件MifareClassicTool读取UID,因为没有root,不能写手机NFC,但可以写IC卡,因此还需要一张CUID卡(不能使用UID卡),某宝上一块多一张,思路就是先读取加密卡的UID,再读取CUID卡的数据,然后将CUID卡的UID改为加密卡一样的UID,再将修改后的数据写回到CUID卡,最后用小米系统自带的门卡模拟功能,复制未加密的CUID卡即可。* Z$ g7 h0 C: M0 j6 J
* {% D% K0 Z2 ^3 y1.读取加密卡的UID; f# s6 [8 I, m1 x" R8 l" F
打开软件Mifare Classic Tool,将加密门禁卡放到手机的NFC感应区域,识别到IC卡后,点击“工具”->“显示标签信息”,可以看到加密门禁卡的8个数字,4字节的UID。
5 \ v: @9 N8 y. g3 q* ]/ I注意,在16进制里,每个数字为4位(2^4=16),8位(bits)为一字节(bytes),即两个数字组成一字节,这里8个数字,即为4字节(Bytes)。- e& s5 y6 N/ x ~1 I# \& k
前8个数字,每个数字代表4位,8位为一字节,8个数字就是32位,即4字节
L8 z! u& Q/ t( z0 u接着打开“工具”->“BCC计算器”,输入UID,得到1位BBC(两个数字)校验数据。1 x3 X1 Q- ^- f0 H+ m
3 w2 J2 J* H9 T9 Y3 }

7 j/ B$ w5 @ h
* ?2 Z8 f& _% ?, N, I2.读取CUID卡数据
3 J/ G1 ~: j5 _" {' t将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“读标签”->“启动映射并读取标签”,即可得到CUID白卡的所有信息。3 n6 Y! ~6 m z. R2 p( p
接着修改第一行的前10个数字,改为加密门禁卡的UID(8个数字)和BCC(2个数字),一共10个数字,并点右上角保存图标保存。
# C. V* ]" g7 p6 ~! r% [
/ h' W. k/ B' k
% m5 N! q2 }8 z/ r+ v5 S3 V z/ C; y S; T9 Y
3.写数据到CUID卡
. _+ B6 _3 u- t( g) j) P再将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“写标签”,勾选“写转储(克隆)”->“显示选项”->“高级:使能厂商块写入”。
2 Q3 r+ F& }% Z再点击“选择转储”,选择刚才保存的数据,点击“选择转储”。( p' d; H+ z7 d$ {
* Z4 j- q2 W( ?7 _/ h
5 g& c8 E O% j4 E# V+ p7 N0 S! N9 ?. B3 Q1 X g- m
在弹出的选择写扇区界面,默认即可,点击“好的”,最后点击“启动映射并写转储数据”。5 M' R: G+ _3 Z' J3 Q- G
- w% m. x7 A1 r# s9 n% q3 r6 G; _
" ~9 U3 U4 U% a' _' D
: U6 l5 f; e1 H& [( y$ L! j8 A
4.NFC手机复制CUID卡! k( V8 G; E0 l
最后,使用小米手机系统自带的门卡模拟功能,复制刚才写入新UID的CUID卡即可。7 A' a& U: J4 b0 A% N
4 W& J4 ?! c* K9 ^' D0 N6 Z
接着,就看运气吧,我小区的门禁系统就只认UID,搞定。
* E% ]3 q: n% Y; { ?- s7 Y0 Q7 K, x' R
1 G* N b/ ]3 Q9 Q |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
