最簡單的ID卡破解
常見破解辦法
ID卡複製,ID卡除了複製也沒有其他研究的了,畢竟太簡單了。
基本原理介紹
ID卡屬於大家常說的低頻卡,一般大部分情況下作爲門禁卡或者大部分大學裏使用的飯卡,一般爲厚一些的卡,是隻讀的,卡里面只保存有一串唯一的數字序號ID,可以把這串數字理解爲你的身份證號,刷卡的時候,讀卡器只能讀到ID號,然後通過跟後臺數據庫進行匹配,如果是門禁卡,那麼數據庫裏面就是存在這樣的ID號,如果匹配上門就開了,匹配不上門就開不了。
如果是學校的飯卡,刷卡的時候,實際上操作的是你對應ID號相關的數據庫中的數據。ID卡本身不存在任何其他數據,所以,學校使用的ID卡飯卡,只能複製卡,刷別人的錢(數據庫中的錢),再沒有其他辦法。
破解方法
通過ID卡讀卡器,讀取卡內的ID號,然後把這串ID號寫入到ID卡空卡中即可,各類工具特別多,需要一個ID卡讀卡器。最簡單的淘寶有賣的工具,兩節7號電池,按讀卡按鈕讀要複製的卡的ID,然後再按寫卡按鈕,把讀到的ID號寫入到空白卡中,即完成了卡複製工作,優點就是方便,缺點就是我們看不到整個過程,對我們安全研究來說作用不大。
射頻IC卡破解
寫在前面的技術鋪墊
射頻IC卡種類繁多,標準也繁多,這些不在介紹範圍內,但是以下攻擊介紹的原理類似,下面不特別說明就是指的M1 S50卡,這也是目前廣泛使用的,並且大家做測試時最常見的IC卡。
常見的破解方法
- 跟ID卡一樣,複製IC卡的UID號碼寫入到新的空白IC卡中。
- 破解IC卡的密碼,從而改寫IC卡中的數據。
- 破解IC卡的密碼之後,把所有數據導出再寫入到一個新的空白IC卡中,也就是 IC卡全卡複製(NFC手機及PM3等設備也支持把自己模擬成一個IC卡,實際上也屬於卡複製一類)
IC 卡 (S50) 分爲16個扇區(0-15),每個扇區又分爲4個區域塊(0-63), 每個扇區都有獨立的一對密碼keyA和keyB(先記着獨立兩個字,後面要思考問題)負責控制對每個扇區數據的讀寫操作,keyA和keyB分佈在每個扇區的第四塊中,第0扇區的第一個數據塊,存儲着IC卡的UID號(想成身份證號),其他扇區可以存儲其他的數據,如錢等數據。
一般IC卡的UID是唯一的也是寫死的不能更改,其他塊的數據是可以更改的,所以也就有了普通IC空白卡以及UID可寫空白卡(可以認爲是不遵守規範的商家制作的)
現在我們開始想象破解的幾種環境
- 讀卡器把IC卡當成ID卡一樣只識別UID正確即可,不管IC卡內其他數據,這時候,只需要把卡的UID讀出來,並使用一個UID可寫的空白卡,把UID寫入即可。
- 讀卡器首先識別UID是否正確,然後再識別其他扇區的數據,通過keyA或者keyB對數據進行讀寫操作。這樣首先UID得正確,其次,keyA或者keyB得正確(後面爲了說的方便,我們就不說keyA或者keyB,直接說IC卡密碼)。
這樣如果知道了IC卡密碼,我們也不需要複製新卡,那麼就可以更改IC卡中的數據,比如更改飯卡中的錢數。如果我們想複製一張一模一樣的卡,那麼就把原卡的所有扇區的數據全面導出來,再寫入新的UID可寫卡中即可。 - 讀卡器不識別UID,只管對扇區的密碼進行驗證,如果驗證成功則允許對卡內數據操作等。(如某“XX快捷酒店”的門卡,就不管UID,只要扇區密碼正確即可),那我們可以通過扇區密碼更改門卡中的數據,如房號,住宿的時間等,也可以通過一個普通的IC卡(uid不能更改)複製一張門卡(跟原卡UID不同),也可以通過一個UID可寫的卡,複製一張跟原卡完全相同的卡(跟原卡UID也相同)
基本上也就是以上幾種環境,改寫UID、通過扇區密碼改寫扇區數據、通過把原卡數據導出重新導入到新的IC卡中複製一張卡。
IC卡的UID是不通過密碼控制的,可以直接通過讀卡器獲得,後面講IC卡的通信過程會說明。那麼我們做IC卡破解時,主要的問題就是破解IC卡每個扇區的控制密碼,如果密碼破解了,那要怎麼操作都隨便了。
IC卡密碼破解的幾種方法
使用默認的密碼攻擊
ffffffffffff
000000000000
a0a1a2a3a4a5
b0b1b2b3b4b5
aabbccddeeff
4d3a99c351dd
1a982c7e459a
d3f7d3f7d3f7
714c5c886e97
587ee5f9350f
a0478cc39091
533cb6c723f6
8fd0a4f256e9
FFzzzzzzzzzz
A0zzzzzzzzzz
暴力窮舉破解
略
其他破解方法
略
常用工具說明
- mfoc mfocgui 以及目前網絡上,淘寶上充斥的各類破解工具都是基於nested authentication攻擊原理,就是內置了一些默認密碼,首先使用默認密碼對每個扇區進行測試,如果某個扇區存在默認密碼,然後就是用nested authentication攻擊獲得其他扇區的密碼。
- PM3的darkside攻擊,Mfcuk等爲darkside攻擊工具,一個扇區密碼都不知道的情況下破解用的,由於破解算法的原理本身就不是100%成功的,所以如果長時間破解不出來,就停了重新換個nt,重新選個時間破解,跟運氣也有些關係。
不要別人幾個小時,甚至幾十分鐘就破解成功了,你幾天都沒有破解出來,還一直傻傻的等,不如暫停換個nt,過一會再試。 - Libnfc工具,目前用的比較多的是radiowar的nfcgui,radiowar網站上也說了,就是給nfc-list nfc-mfsetuid nfc-mfclassic 這三個工具寫了個gui界面,你也可以使用命令行模式,或者你也可以自己寫個gui界面調用這三個程序即可,這些都是操作卡或者讀卡數據的工具,國內不同的IC卡讀卡器都附帶有一些讀寫卡程序,我用的一個比這個要方便的多。
題外話1
不要信任RFID(或從不應該信任)
在萬能的中國,你幾乎可以找到你需要的一切一切,只要有哩可圖就會有存在的價值,所以RFID領域也是如此,曾經所謂的UID唯一性就是因爲中國人而失去的,Chinese Magic Card中國人制造而享譽全球的產品,使得MIFARE CLASSIC的UID固化不可修改的神話成爲了歷史。實際上當越來越多的卡存在兼容模式的情況下,RFID其天然的安全防線就失去了原有意義,利用T55X7複製EM4X系列的ID號、利用MIFARE PLUS卡模擬MIFARE CLASSIC的安全隱患等等。
RFID的UID唯一性如同安全娛樂圈的認證認可一般不可信
國內安全娛樂圈,這一個具有劣根性特色的一個“技術性”圈子,圈子內的某些人被稱之爲“牛人”,就好像RFID一樣,其ID在社交網站都是帶V的,就好像是一個身份證明一樣,其舉止行爲都具有個人以及其技術領域的認證,但往往現實都是殘酷的,就如同RFID當中的ID卡一樣,不再是擁有絕對的可信性以及不可僞造,所以這些所謂的牛人也是如此,其言行舉止不再是具有權威性、可信性,反而是一種誤導是一種錯誤,在其不懂不瞭解的領域隨意發表言論給予任何不認責任的認證以及認可,導致其追隨者、崇拜者以及相關的一些人麻木追求和跟隨,不斷出現惡性漣漪。
隨隨便便一個垃圾言論發表了之後,從來就不會考慮到後果,只是享受發表那一刻被衆人推波助浪而來的虛榮,要別人去承受其衍生出來的惡性後果。