记录小米手机NFC模拟加密门禁卡,以及Proxmark3的使用。( |8 [8 o8 v- z& F: A% ]0 F+ K
' ]2 E. G5 u3 t+ x+ H
0. 缘起
7 j, V1 C" l9 H! o e' a7 @5 v
& j0 {9 t3 b. u, p* S" h之前,小区用的门禁卡为非加密的门禁卡,使用小米手机系统自带的门卡模拟功能复制即可。
; h$ R- w4 K$ B! m后来,小区门禁系统换了一家供应商,再使用之前的方法复制门禁卡,手机提示为加密卡,无法复制。7 X$ [9 I1 v/ ?5 A) y
- z7 ]$ X; V2 i& x8 F- [, R, {3 b
新的门禁系统,更安全了,也支持APP远程控制开门了,直到有一天门禁卡丢了,开始使用APP开门,发现这APP写得烂透了,十次有五次点击开门按钮无反应,需要反复退出、打开APP多次才能点击开门按钮成功,还有两次直接没了开门按钮,提示到物业管理处处理……! @9 i+ U! r5 V$ y0 j* G3 @3 Y
那个时候,我又开始怀念用手机刷门禁的快感了。。
+ @" N% \* R( H: q
/ w( }# h' N( e4 F1. 基础知识: A% k) I( i2 O2 u3 w1 R, a
/ K, Y+ g: ^: O. n7 H, f' |于是,我开始查阅资料,基本确定了小米手机是还是可以通过其它方式模拟加密门禁卡的。6 M+ L6 u- s" H5 b' y
然后,资料查多了,记不到,又怕以后用到需要重新找,干脆水一篇博客记录下来。3 i! F* i+ t/ G! L, f( P' g: Y
如果熟悉NFC和IC卡,或者只想模拟加密门禁卡,并不关心原理,这章可以跳过,直接看下一章。% m# D9 }0 P6 |
" U/ ?9 s/ l u, ]+ T+ Q
1.1 ID卡和IC卡
& a8 Y$ @# l& G% r2 m' T
# K" c/ i1 {8 [ Z! a BID卡:全称身份识别卡(Identification Card),多为低频(125Khz),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。
; x$ T, k7 \8 ]
3 j7 W: H3 c( bIC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。
8 |0 c1 r- s/ o( X
: j( O# C9 }2 `& ~3 Q) Z3 r主要区别:( O( w0 @# Y6 \' ^
ID卡,低频,不可写入数据,其记录内容(卡号)只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;
2 H1 K9 o* I. S% PIC卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据(如新的卡用户的权限、用户资料等),IC卡所记录内容可反复擦写;* B8 N6 e) t) L9 m
7 [ d* z" X) s3 R5 q V/ ]IC卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;
2 v8 L+ P9 e2 P: f* [: ?: C8 l) c5 l" ^* F3 _, n5 K! J
7 Z6 U3 u" e0 v2 U' T; R
4 K: y/ W8 y3 x. [0 j+ H
4 ~8 `+ _% f( U" |1 N5 G
1 u `# N* h# E! @3 G以上图片来自淘宝商家,网上找了半天相关资料,发现淘宝商家解释得最清楚。
) z2 Y0 u( F# w; ]' L6 |# U+ a
! S7 ~/ T* {: W* ?) Z! m2 K/ o总结:
3 Y/ j% G# T# V7 N2 D7 c ]( b1.ID卡多为低频,IC多为高频;
( @4 j6 B& Z3 {7 Y) k6 n. I. k* p2.IC卡整体上看比ID卡更有优势,市面上使用的大多数也是IC卡;
: c* @* N2 x3 B3.对于矩形白卡,里面为矩形线圈、表面没有编号的多为IC卡,里面为圆形线圈、表面有编号的多为ID卡;
8 b& R0 d+ T7 T3 n4.对于异形卡,有编号的多为ID卡,最好使用带NFC的手机进行测试(目前手机NFC只能读高频13.56Mhz),IC卡会有反应;
- {6 J% ^4 B$ R1 B. v" `, p/ q' L! s) F S2 P6 C, ]
1.2 接触式和非接触式IC卡5 ]6 J+ w# s5 ]" p
4 H) R; V# \& W( MIC卡又可以分为接触式IC卡和非接触式IC卡。 Q& q( I3 ?2 G
: |% \& q& t* O, } _
接触式IC卡:该类卡是通过IC卡读写设备的触点与IC卡的触点接触后进行数据的读写;1 j5 {5 x5 Q; B2 t% i& o- D3 h+ O
# n+ [8 \4 Q9 d! |/ d5 u- m2 E; I, @
非接触式IC卡:又称射频卡、感应式IC卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。" q# K9 P% o. b
9 H4 W0 v5 T! W
两者比较好区分,直接看卡上有无金属触点即可。# z0 e9 x& A$ q
& n/ J, [# N9 _
6 D$ \' O4 F+ X) Y. y
% _' x8 {1 D! Z2 Q. d0 w% W1.3 RFID和NFC
/ X& G j8 u* G! Z6 q0 l, n
7 G# i7 w2 s _3 ?6 Z, A非接触式的读写技术常见的有两种:RFID技术和NFC技术。
, E& x, H4 R7 g: p7 \ t! [1 g0 M2 n! L5 T( p
RFID技术:+ [ n& v9 m! o. C! n8 |0 F4 |
1.通常应用在生产,物流,跟踪和资产管理上;& B& M* `) d; L% \$ [
2.根据频率划分包含低频、高频(13.56MHz)、超高频、微波等;- ?5 D, A) d/ u9 |1 D9 Q1 t
3.作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;
8 B% M& w" i( d4.读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;, E- B, H8 q) f1 ^: i( P
$ [9 W" h9 l: Y4 n! A7 FNFC技术:
' k: I1 U D% T3 ^! S0 W1.通常应用在门禁,公交卡,手机支付等领域;8 ^* `" ?4 S. a4 G
2.频率也是13.56MHz,且兼容大部分RFID高频相关标准(有些是不兼容);
8 H O6 }) k1 @1 W f8 F3.NFC作用距离较短,一般都是0~10厘米;
* I$ H" M4 V8 v$ ?8 e3 ^' Y* [, ~/ ^4.读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;$ R: m" k b) E8 E
$ A# p/ S/ g$ B5 s1 h总体来说,NFC是RFID的子集,但NFC有些新特性又是RFID所不具备的。
: o {$ d* R: O3 s8 b$ e c3 a
& l5 Q1 _6 ]9 a \% i1.4 ID卡类型
! v1 l* r$ Y9 l3 s6 X* z3 l+ N6 s/ n( s& I! {
ID卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:
* K4 |% B+ }7 U$ R6 n: {4 |! p, `+ _$ {' |* R! y4 k" I% M
ID卡; F/ l1 T% T+ e) ]
EM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;) @9 u2 k" A2 e" j$ }0 o
* z- E4 A/ L8 n) g$ @0 @ID白卡
: t: N, g9 ?/ A( @& qEM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;
5 _' n9 N* }1 H! QT5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡 w: ~ b" v4 \, z4 L
, \% r# ?5 v9 b( ^
HID卡
& b6 f8 `& [1 f. h' o" Y& T) b全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;* W3 u( l5 a6 d" F: J& c) O
. R) ` G2 e$ t3 C) c
1.5 IC卡类型
! a: \( [! v- e7 m
* q I9 e: t, G# Q7 o8 U! YIC卡中最常见的是NXP Mifare系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:
' u. s6 [/ X% r+ i
$ l E# i7 O$ {7 _' yM1卡7 {* ^: K* v7 V% {
全称Mifare S50,是最常见的卡,出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡; J' G" I! f+ P# R1 v s
7 Y9 M, n- t3 z: S& _
M0卡
. d5 N0 A; N, g1 N1 P- f# ?3 k全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;常用于地铁卡,公交卡;0 {# T4 Y; {: Y- ?6 I. z
' P5 W7 D1 Y/ G以上两种固化了UID,为正规卡,接下来就是一些没有固化UID,即不正规的卡:
2 n! z% |. ^/ c1 L" U/ |7 C6 ~* @$ s3 g8 q Y
UID卡
3 P/ {! y. ] c' {全称Mifare UID Chinese magic card,国外叫做中国魔术卡,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;& f% O) e# |4 c% Q6 r1 a+ D; l
但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);" O+ S6 _6 _0 J! a* k& z
2 N( u3 q9 M" R( c; M: P
CUID卡! X- V0 f7 d- t, f
为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;3 ^+ e# [ x' O- Q+ O% ^
近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天CUID卡会和UID卡一样面临着淘汰;
. z& C# n1 h4 }* W/ j) u U; l. B8 L" W" p( a
FUID卡
- H5 M7 j8 r! y* JFUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;
$ A, T% Y. q* W但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
. ]6 G4 V* _ |: x3 l$ |$ }. e1 |3 j8 I5 L5 P6 n- |
UFUID卡
+ c$ T7 L1 V3 E集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。 a/ |1 {- b3 e1 \9 b4 }
可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;5 f6 h7 }6 x/ P- }8 i
7 E6 `: |7 A) E. m* R, ~
判断是M0卡(Mifare UltraLight),还是M1卡(Mifare Classic 1k),可以通过SAK值判断。$ P3 q. t; Q) @& e% A d
2 x1 T/ a! i8 }. w1 Z. |( w产品ATQASAKUID长度Mifare Mini00 04094 bytesMifare Classic 1k00 04084 bytesMifare Classic 4k00 02184 bytesMifare Ultraligh00 44007 bytesMifare Plus00 44207 bytes/ E) U( v5 V9 i g7 [8 `1 D+ ?
m8 U& S' \: u* P7 D5 l/ K
1.6 IC卡详细分析
" a( P! L) K @* m+ a2 T F, \
1.6.1 IC卡存储器结构
$ f% f; q2 S$ O. ]5 T% m8 @" T) T. {) }: }0 }3 m0 k
以M1卡为例,介绍IC卡数据结构。, t* n0 g7 Z' f3 q7 B! {
M1卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;: _! h$ v3 Q1 e+ c" ~
每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;
! t( j0 S" R. h& g
3 m! w9 W, J2 h/ h# V
: D h* G. h- W9 d C& ?. u- \2 A
2 g/ {# K8 M6 |5 l) d厂商段
% h+ f/ A$ r& |每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。
: c9 C' J+ \4 ]其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,剩下的是厂商数据。
' a! i; T+ N s6 V并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。* R# m+ T, R2 D. c) _* N
& m8 k& s1 W% n5 y
6 Q! x" Y3 L. P. ^. n
) v- O) h. H) j: D
数据段) `4 l! R L: t* D' f
除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。6 Q$ D' V8 |' [" e; Q) r3 {/ U
数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。5 y7 g. t. d( N. K
值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复,值段格式如下:6 y3 b1 V9 H; v" o2 D
& L- n- I) V, O% a2 S0 A

) M$ n _2 o) L7 Y! v m" }8 N0 i ^3 r1 E( |
Value表示一个带符号4字节值,为了保证数据的正确性和保密性,值被保存了3次,两次直接保存,一次取反保存。该值先保存在0字节-3字节中,然后将取反的字节保存在4字节-7字节中,还保存了一次在8字节-11字节中。9 y9 d, `- d3 l# L) K/ [7 ?
Adr表示一个字节的地址,当执行备份管理时用于保存存储段的地址。地址字节保存了4次,取反和不取反各保存了2次。在执行加值、减值、恢复和传送等操作时,地址保持不变,它只能通过写命令改变。) D7 \0 _- m. |
# |1 Y0 u* f; E" ?$ ~- p9 {- m控制段
. U& a1 P% d+ W; b每个扇区都有一个区尾控制段,它包括密钥A和密钥B(可选),以及本扇区四个段的访问控制位 (Access bits);访问控制位也可用于指出数据段的类型(为读/写段还是值段);控制段的存储格式如下:* L% L6 I) u( G
& C1 [$ }; x5 |1 [+ e8 y' d, w# }+ u6 a
1 D( ?' u6 I0 f, q# o
( Z9 w% i) u1 @" s2 L. j如果不需要密钥B,那么区尾的最后6个字节可以作为数据字节,用户数据可以存储在区尾的第9个字节,这个字节具有和字节6、7、8一样的访问权限。
; w& a v+ l6 J( Z, t7 O" L- _& o( f" Q3 U4 P
1.6.2 IC卡访问存储器
+ i9 ?- y( ]. u( `+ I. Y: D$ f( _- C) k: r
数据段支持的操作
& q$ w# h( S' C根据使用的密钥和相应区尾访问条件的不同,数据段所支持的存储器操作也不同,存储器的操作类型如下:- j) H8 b3 c9 q0 t: F) {+ [" z4 S' L
$ A* W- X) W- ?. j L( Q$ i% l$ ?. D
; p! r+ d2 q" g" M @/ ]+ Y% }! i
可以看到只有作为值段时,才能加、减、传送、恢复。' j0 _7 a7 C7 I1 |$ \! z
" Z0 Z1 I) }* N% z# p2 b
各区的访问位定义
N: s5 x: ?! d, K每个数据段和区尾的访问条件由3个位来定义,它们以取反和不取反的形式保存在区尾指定字节中。
4 E1 y. A9 |7 w( j访问位控制了使用密钥A和B操作存储器的权限,当知道相关的密钥和当前的访问控制条件时,可以修改访问条件,各区的访问位定义如下:+ r5 D- n0 ]( I4 @
' a: T+ r0 z8 K$ n0 R2 U
; L) p5 B9 K5 D( x/ J/ S
3 \" [# ~+ B L; {6 k6 T. w
访问位在区尾的存储形式$ }: s8 o u1 X
' l8 f3 F8 A+ p3 h; c# d
* R+ t# W- i3 c
+ J+ q7 b. A* n. A
区尾的访问条件# |/ w3 F0 {' i! Y6 U3 Z
根据区尾(段 3)访问位的不同,访问条件可分为 “从不”、“密钥A”、“密钥B” 或“密钥A|B”(密钥A或密钥B),区尾的访问条件如下:
: S) u; G! S {( j: [
N% h& O# I7 Q& A6 w5 C9 o; ?+ J
{! N- A# S8 G' g6 P$ N9 U4 k6 [' t8 Z5 Z
用灰色标明的行是密钥B可被读的访问条件,此时密钥B可以存放数据。, z2 r% ^' b' X4 S
例如:当段3的访问条件C13C23C33=100时,表示:密钥 不可读(隐藏),验证密钥B正确后,可写(或更改);访问控制位在验证密钥A或密钥B正确后,可读不可写(写保护);密钥B不可读,在验证密钥 B 正确后可写;' T7 ^* ~' d; e" e3 c) V9 l/ x0 x
又如:当段3的访问条件C13C23C33=110或者111时,除访问控制位需要在验证密钥A或密钥B正确后可读外,其他如访问控制位的改写,密钥 A,密钥 B 的读写权限均被锁死而无法访问;2 }; [) l$ W; w% q) S% Y
' b; B/ t( e/ ^: l1 ~
数据段的访问条件* R4 I6 Z. T. V
根据数据段(段 0-2 访问位的不同,访问条件可分为 “从不”、“密钥A ”、“密钥B ” 或“密钥A|B”(密钥A或密钥B)。
+ F- _% M0 ^9 L0 x相关访问位的设置定义了该段的应用(或者说数据段类型)以及所支持的应用命令,不同的数据段类型可以进行不同的访问操作。 读/写段可以进行读操作和写操作。值段可以进行加、减、传送和恢复的值操作。
1 u: b3 ?7 W6 v3 m6 E; i其中一种情况中(001)只能对不可再充电的卡进行读操作和减操作,另一种情况中(110)使用密钥B可以再充电。 厂商段无论设置任何的访问位都只是只读的, 数据段的访问条件如下:
0 M3 y" f( o6 v; K$ ^& G4 ?$ M/ o0 I& ^9 x0 U/ q: J, }

( h. E* E( Y6 L5 V! W5 P0 T. Z8 E O+ @' o' a3 Q
如果密钥B可以在相应的区尾被读出,它就不能用于确认(在前面所有表中的灰色行)。如果读卡器要用这些(带灰色标记的)访问条件的密钥B确认任何段,卡会在确认后拒绝任何存储器访问操作。; P$ I* h0 M$ R) c* R# J1 A
. G& r7 H- H$ {7 W0 c2 i' _9 T1.6.3 举例说明
/ ?* i0 T6 d5 u" f5 r: x8 E8 o* w9 m) Q7 J( l3 K
Mifare S50出厂时,访问控制字节(字节6-字节9)被初始化为“FF 07 80 69”,KEY A和KEY B的默认值为“FF FF FF FF FF FF” ;; a2 m9 o" U# [2 g* {# S
字节6为FF,二进制为1111111;字节7为07,二进制为00000111;字节8为80,二进制为10000000,如下:
- K2 p, Z1 z& R; y" g
. f- \% ?# V# [; o3 P. s& f, y
: m$ D" }, v) Q, r# [0 F7 F) V
; v4 V" v7 }7 u7 a8 M* Z对照前面的访问位在区尾的存储形式图,可得知访问控制位为:
1 d/ t4 G4 a) h4 }$ u% @C10C20C30=000;C11C21C31=000;C12C22C32=000;C13C23C33=001。# ^, w7 h9 p. G& w: m. {" S
! b W) j+ q5 h) {6 m
C10C20C30、C11C21C31、C12C22C32对应数据段0、1、2,参考数据段的访问条件图即可得知该段三个数据区的访问权限;
5 V. Y# W) {: n1 c5 rC13C23C33对应区尾(段 3),参考区尾的访问条件图即可得知该段的访问权限;9 z" B; G, p# j
0 }& _) l+ ^- I8 P: E5 ]& M% ?& `
块0控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
% M+ q6 X0 \0 S9 |' }- [块1控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;' K* O9 \% c5 }. l/ V; \
块2控制位为:0 0 0 权限为:通过A或者B密码认证后可读,可写,可进行加值和减值操作;
# a" R3 }; o* B- M; h) ]块3控制位为:0 0 1 权限为:A密码不可读,验证A或者B密码后可改写A密码;验证A或者B密码后,可读可改写存取控制;验证A密码或者B密码后,可读可改写B密码;3 Q* q9 Z7 s4 V/ k; K
7 f1 s8 n7 W- q- |% v8 s, G这样每次换算还是有点麻烦,可以使用M1 S50卡控制字节生成工具快速换算:
p+ O5 r$ u, X( U& c+ I
3 Z/ r# z1 w5 z3 P7 [9 |
' l/ \6 u" ]4 J8 d2 X- Y, w6 Z
( i( R$ ? Z7 ], {+ _最下面一行可以输入想解释的控制字,也可以根据上面的设置生成控制字;
9 E o! i ]$ L5 F5 A9 I最上面一行,左边是数据段0、1、2的访问控制位,右边是对应权限所需要的秘钥;- s+ u1 k- `6 Q& {: p
中间的一行,左边是区尾的访问控制位,右边是对应权限所需要的秘钥;
+ ~3 a+ n% }* q9 Y; {3 k+ h4 m8 O* [' j9 b3 s/ G
1.7 非加密IC卡和加密IC卡
6 k/ j" y( M/ ^) W. V2 e8 Z5 Y/ G `
非加密IC卡和加密IC卡的区别就是,非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;/ a) ^( Z* `6 ?- c/ b2 C- Y
而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。
( k+ I7 \0 [: k4 B0 x7 v" F2 X) {3 \+ n( r0 L* i& r
一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如Proxmark3读取。! W$ @% ~1 N3 O3 H) ?. n$ r0 E1 }
- w- B2 F$ G3 V# ?对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。
! Q, V. H% f/ ~6 t5 n因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都有服务器定期校验,得先搞定服务器再说,难度高还违法。" s' n) p2 q( p5 }$ K# e* L
" O4 v$ y8 @& Z/ o8 P
参考资料:! m# q! d$ U, |) a# ~* w" @6 C
码农生活 篇二:IC卡门卡模拟探秘
8 `' Q1 N# F. Z% b k3 z1 d+ VIC卡简介【M1/S50,UID,CUID,FUID,UFUID复制卡介绍】! L/ x( i* O3 D: ?* n. k# h
谈谈 Mifare Classic 破解
& Y" }0 j+ p6 z8 k! Crfid-practice$ O1 J5 D9 _; `; j5 {
Type A 卡存储结构与通信; f# P: B. F% h% f: h
Proxmark3 Easy破解门禁卡学习过程
1 [4 D! Y" g h
9 E) d+ G/ R, T. a- J2. 手机NFC模拟加密门禁卡
: k5 c0 I$ E( m/ ?/ h1 A6 H. ~ x9 J; C8 I% a) @4 z5 k
有了前面的知识,再来看现在我的加密门禁卡情况,手机能识别为加密卡,肯定是IC卡。
9 ^3 v7 g6 d6 R# g
6 Y2 N4 C T% D* I4 J首先,加密卡在目前这个情况下是无法解密的,如果按照下面的操作失败,请参考下一章。* b7 j8 i$ m9 A% s
部分门禁系统只认证IC卡的UID,利用这一情况,可以试试复制门禁卡的UID,看运气能否打开门。$ |) c" v$ k3 n. P* x; I; w, w& p
+ f! M! z$ ]" Z! Y8 R$ o, U在已root的情况下,直接使用APP NFC卡模拟 便可读取加密卡的UID和非加密数据、并写UID到手机NFC里。
$ K% j# j" c* O' `在未root的情况下,使用小米系统自带的门卡模拟功能,出于安全考虑,是不能对加密卡进行任何操作。手机的NFC,理论上可以读加密IC卡的UID,因此可以使用第三方软件MifareClassicTool读取UID,因为没有root,不能写手机NFC,但可以写IC卡,因此还需要一张CUID卡(不能使用UID卡),某宝上一块多一张,思路就是先读取加密卡的UID,再读取CUID卡的数据,然后将CUID卡的UID改为加密卡一样的UID,再将修改后的数据写回到CUID卡,最后用小米系统自带的门卡模拟功能,复制未加密的CUID卡即可。9 H) [+ v4 Z* h! J. i* n
9 k0 q( n3 F9 l6 m) R" q' X1.读取加密卡的UID0 J: d- A( V8 [% i" W+ B& p
打开软件Mifare Classic Tool,将加密门禁卡放到手机的NFC感应区域,识别到IC卡后,点击“工具”->“显示标签信息”,可以看到加密门禁卡的8个数字,4字节的UID。5 M& g2 _) K O( k
注意,在16进制里,每个数字为4位(2^4=16),8位(bits)为一字节(bytes),即两个数字组成一字节,这里8个数字,即为4字节(Bytes)。
: Z% i$ o! e" _前8个数字,每个数字代表4位,8位为一字节,8个数字就是32位,即4字节
) J% h) P! | c8 K9 k# l- }5 ^: F接着打开“工具”->“BCC计算器”,输入UID,得到1位BBC(两个数字)校验数据。
/ ]1 S4 L! Y7 b+ g( y0 h
' O) F- D* }) U' X, U8 k. Z6 |& S! X9 }- U" n; W6 M
3 U0 u1 V9 B2 ?) A: m6 x
2.读取CUID卡数据 R, r' v w! u' _) J7 z/ L/ A* {
将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“读标签”->“启动映射并读取标签”,即可得到CUID白卡的所有信息。
: T) Z% H ]3 I8 ^. V# n; d接着修改第一行的前10个数字,改为加密门禁卡的UID(8个数字)和BCC(2个数字),一共10个数字,并点右上角保存图标保存。
. l" [- x2 i0 _* r6 S. W c1 v8 v! r8 ~
; F# {4 X; W/ _+ Q
) a4 Y+ p' J. ^: b# c8 I- T3.写数据到CUID卡" b) a) }$ Q0 [# O: N
再将CUID卡放到手机的NFC感应区域,识别到IC卡后,点击“写标签”,勾选“写转储(克隆)”->“显示选项”->“高级:使能厂商块写入”。" _. ~3 ]/ n1 k7 [5 x4 t- I+ V
再点击“选择转储”,选择刚才保存的数据,点击“选择转储”。; _6 n+ P: R6 Y1 ^( W3 X4 q) f2 b
1 p, J9 V0 N# l
% t7 h8 S) g% {1 v9 Y* h
! Z- [1 u* c# ~. d# f在弹出的选择写扇区界面,默认即可,点击“好的”,最后点击“启动映射并写转储数据”。. B: b) t( C$ a7 O
, d, ^: \ K# A, J
4 y! w$ s# ^" O- @
4 f8 |1 c) `, l6 {" `& j, e% u
4.NFC手机复制CUID卡
/ h" L, E' x* _. A0 h) @最后,使用小米手机系统自带的门卡模拟功能,复制刚才写入新UID的CUID卡即可。; w' ]. n. }3 D' C) m0 m2 e4 ?
: x! u- |+ d" ]0 p
接着,就看运气吧,我小区的门禁系统就只认UID,搞定。, K6 |7 o9 d. @6 K" `
* q4 L; [- \. w5 B3 y
3 T% Z0 m. O/ j: S# V1 R |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
