最简单的ID卡破解
常见破解办法
ID卡复制,ID卡除了复制也没有其他研究的了,毕竟太简单了。
基本原理介绍
ID卡属于大家常说的低频卡,一般大部分情况下作为门禁卡或者大部分大学里使用的饭卡,一般为厚一些的卡,是只读的,卡里面只保存有一串唯一的数字序号ID,可以把这串数字理解为你的身份证号,刷卡的时候,读卡器只能读到ID号,然后通过跟后台数据库进行匹配,如果是门禁卡,那么数据库里面就是存在这样的ID号,如果匹配上门就开了,匹配不上门就开不了。
如果是学校的饭卡,刷卡的时候,实际上操作的是你对应ID号相关的数据库中的数据。ID卡本身不存在任何其他数据,所以,学校使用的ID卡饭卡,只能复制卡,刷别人的钱(数据库中的钱),再没有其他办法。
破解方法
通过ID卡读卡器,读取卡内的ID号,然后把这串ID号写入到ID卡空卡中即可,各类工具特别多,需要一个ID卡读卡器。最简单的淘宝有卖的工具,两节7号电池,按读卡按钮读要复制的卡的ID,然后再按写卡按钮,把读到的ID号写入到空白卡中,即完成了卡复制工作,优点就是方便,缺点就是我们看不到整个过程,对我们安全研究来说作用不大。
射频IC卡破解
写在前面的技术铺垫
射频IC卡种类繁多,标准也繁多,这些不在介绍范围内,但是以下攻击介绍的原理类似,下面不特别说明就是指的M1 S50卡,这也是目前广泛使用的,并且大家做测试时最常见的IC卡。
常见的破解方法
- 跟ID卡一样,复制IC卡的UID号码写入到新的空白IC卡中。
- 破解IC卡的密码,从而改写IC卡中的数据。
- 破解IC卡的密码之后,把所有数据导出再写入到一个新的空白IC卡中,也就是 IC卡全卡复制(NFC手机及PM3等设备也支持把自己模拟成一个IC卡,实际上也属于卡复制一类)
IC 卡 (S50) 分为16个扇区(0-15),每个扇区又分为4个区域块(0-63), 每个扇区都有独立的一对密码keyA和keyB(先记着独立两个字,后面要思考问题)负责控制对每个扇区数据的读写操作,keyA和keyB分布在每个扇区的第四块中,第0扇区的第一个数据块,存储着IC卡的UID号(想成身份证号),其他扇区可以存储其他的数据,如钱等数据。
一般IC卡的UID是唯一的也是写死的不能更改,其他块的数据是可以更改的,所以也就有了普通IC空白卡以及UID可写空白卡(可以认为是不遵守规范的商家制作的)
现在我们开始想象破解的几种环境
- 读卡器把IC卡当成ID卡一样只识别UID正确即可,不管IC卡内其他数据,这时候,只需要把卡的UID读出来,并使用一个UID可写的空白卡,把UID写入即可。
- 读卡器首先识别UID是否正确,然后再识别其他扇区的数据,通过keyA或者keyB对数据进行读写操作。这样首先UID得正确,其次,keyA或者keyB得正确(后面为了说的方便,我们就不说keyA或者keyB,直接说IC卡密码)。
这样如果知道了IC卡密码,我们也不需要复制新卡,那么就可以更改IC卡中的数据,比如更改饭卡中的钱数。如果我们想复制一张一模一样的卡,那么就把原卡的所有扇区的数据全面导出来,再写入新的UID可写卡中即可。 - 读卡器不识别UID,只管对扇区的密码进行验证,如果验证成功则允许对卡内数据操作等。(如某“XX快捷酒店”的门卡,就不管UID,只要扇区密码正确即可),那我们可以通过扇区密码更改门卡中的数据,如房号,住宿的时间等,也可以通过一个普通的IC卡(uid不能更改)复制一张门卡(跟原卡UID不同),也可以通过一个UID可写的卡,复制一张跟原卡完全相同的卡(跟原卡UID也相同)
基本上也就是以上几种环境,改写UID、通过扇区密码改写扇区数据、通过把原卡数据导出重新导入到新的IC卡中复制一张卡。
IC卡的UID是不通过密码控制的,可以直接通过读卡器获得,后面讲IC卡的通信过程会说明。那么我们做IC卡破解时,主要的问题就是破解IC卡每个扇区的控制密码,如果密码破解了,那要怎么操作都随便了。
IC卡密码破解的几种方法
使用默认的密码攻击
ffffffffffff
000000000000
a0a1a2a3a4a5
b0b1b2b3b4b5
aabbccddeeff
4d3a99c351dd
1a982c7e459a
d3f7d3f7d3f7
714c5c886e97
587ee5f9350f
a0478cc39091
533cb6c723f6
8fd0a4f256e9
FFzzzzzzzzzz
A0zzzzzzzzzz
暴力穷举破解
略
其他破解方法
略
常用工具说明
- mfoc mfocgui 以及目前网络上,淘宝上充斥的各类破解工具都是基于nested authentication攻击原理,就是内置了一些默认密码,首先使用默认密码对每个扇区进行测试,如果某个扇区存在默认密码,然后就是用nested authentication攻击获得其他扇区的密码。
- PM3的darkside攻击,Mfcuk等为darkside攻击工具,一个扇区密码都不知道的情况下破解用的,由于破解算法的原理本身就不是100%成功的,所以如果长时间破解不出来,就停了重新换个nt,重新选个时间破解,跟运气也有些关系。
不要别人几个小时,甚至几十分钟就破解成功了,你几天都没有破解出来,还一直傻傻的等,不如暂停换个nt,过一会再试。 - Libnfc工具,目前用的比较多的是radiowar的nfcgui,radiowar网站上也说了,就是给nfc-list nfc-mfsetuid nfc-mfclassic 这三个工具写了个gui界面,你也可以使用命令行模式,或者你也可以自己写个gui界面调用这三个程序即可,这些都是操作卡或者读卡数据的工具,国内不同的IC卡读卡器都附带有一些读写卡程序,我用的一个比这个要方便的多。
题外话1
不要信任RFID(或从不应该信任)
在万能的中国,你几乎可以找到你需要的一切一切,只要有哩可图就会有存在的价值,所以RFID领域也是如此,曾经所谓的UID唯一性就是因为中国人而失去的,Chinese Magic Card中国人制造而享誉全球的产品,使得MIFARE CLASSIC的UID固化不可修改的神话成为了历史。实际上当越来越多的卡存在兼容模式的情况下,RFID其天然的安全防线就失去了原有意义,利用T55X7复制EM4X系列的ID号、利用MIFARE PLUS卡模拟MIFARE CLASSIC的安全隐患等等。
RFID的UID唯一性如同安全娱乐圈的认证认可一般不可信
国内安全娱乐圈,这一个具有劣根性特色的一个“技术性”圈子,圈子内的某些人被称之为“牛人”,就好像RFID一样,其ID在社交网站都是带V的,就好像是一个身份证明一样,其举止行为都具有个人以及其技术领域的认证,但往往现实都是残酷的,就如同RFID当中的ID卡一样,不再是拥有绝对的可信性以及不可伪造,所以这些所谓的牛人也是如此,其言行举止不再是具有权威性、可信性,反而是一种误导是一种错误,在其不懂不了解的领域随意发表言论给予任何不认责任的认证以及认可,导致其追随者、崇拜者以及相关的一些人麻木追求和跟随,不断出现恶性涟漪。
随随便便一个垃圾言论发表了之后,从来就不会考虑到后果,只是享受发表那一刻被众人推波助浪而来的虚荣,要别人去承受其衍生出来的恶性后果。