1、最簡單ID卡破解
文中提到的是最爲之簡單的部分,其識別是經過後臺數據庫進行匹配的,實際上幾乎100%的大型環境下(包括文中所說的學校)也是無法做到完全與後臺匹配的,或者簡單來說那只是跟讀卡器的交互而已!談不上是數據庫。
我們所知的HID等基於125kHz頻率的低頻卡,ID部分都是固化的(或者如本文所說的只讀),但實際上並非完全如此,正如文中所說,大家可以購買相關的空白卡進行復制操作。實際上作者完全忽略了一個問題,所謂空白卡是有分別的,好像HID要複製就必須要使用T55X7類的卡,而T55X7也叫TK4100(EM4100)卡,該卡存在ID可修改的功能性並且存在數據存儲性。而文中所提到的厚卡和薄卡也是對於ID卡的一種分別!
還有就是作者忽略了一個對於某種卡類的安全隱患!em4100的ID是無法窮舉的,但是HID的ID是可以窮舉的。
2、射頻IC卡破解
射頻卡IC卡顧名思義就是所謂的利用射頻識別技術的IC卡,然而IC卡就是大家經常所謂存在存儲功能的卡,包括了文中所說的S50卡!但實際上em4100系列以及HID系列也是IC卡。
文中提到有三種手法是常見的,但我個人不認爲其中的兩種是所謂的破解手法:
1、跟ID卡一樣,複製IC卡的UID號碼寫入到新的空白IC卡中。
該手法是基於無需任何密鑰的情況下進行的操作,但是我曾經介紹過關於某卡的破解手法就說過爲什麼需要XOR得出其餘的數據,並且就算我們不需要XOR得出相關的數值,就以前8位作爲UID寫入UID白卡的情況下,你完全無法確保讀取系統是否識別,因爲0區的數值不僅僅包括了UID。UID作爲一種可知的條件存在的時候,不經過任何限制性操作而進行的複製何以成爲破解的手法之一?其背後存在各種不穩定因素,使得這個手法未能得到肯定。
3、破解IC卡的密碼之後,把所有數據導出再寫入到一個新的空白IC卡中(太長不寫了)
實際上作者是想說破解得出的數據,利用NFC設備/逆向設備進行相關的Tag模擬,首先要問清楚一下作者的就是NFC手機是基於哪幾種芯片而言?系統是什麼?因爲現在已知的多個操作系統以及NFC芯片是不支持MIFARE
CLASSIC的模擬,而只能夠模擬基於ISO14443A標準的部分類型,並且模擬是一種很複雜的軟件工程,並非是作者說的這麼簡單,並且這也不是破解,需要破解什麼呢?
或者我以看官的角度來說,常見破解手法作者就說了一個,而這一個手法就是“破解”。在已知密鑰的情況下進行的一切操作可以談作爲是破解嘛?
關於IC卡部分的介紹也有一點問題,原文內容是“每個扇區都有獨立的一對密碼KeyA和KeyB負責控制對每個扇區數據的讀寫操作”這句話前半部分是正確的,而後半部分是錯誤的,實際上密鑰就是Access條件,而這個Access的權限是由卡的控制字節限制,如果按照作者的說法的話,只要你知道密鑰你就是拿到超級管理員權限啦,但可惜事實往往是殘酷的,控制字節會限制密鑰的權限,所以沒有控制字節,密鑰P都不是,因爲作者在這裏埋下了炸彈,所以實際上下面的內容就出現不可補救的錯誤。
IC卡的UID是固化在內而並且寫死在內的,所謂寫死就是說你可以以權限去進行修改,只不過你沒有這個權限,但實際上UID是固化在內的!並且作者沒有說有控制自字節的情況下,所以包括0區以內的所有區塊都是不可讀寫的。
破解的幾種環境:
1、作者實際上的意思是說當環境識別爲基於UID進行認證的認證模式下 2、當環境需要以UID作爲第一認證,其密鑰作爲數據讀取條件,而控制字節允許讀取寫入的情況下 3、當環境不需要以UID作爲第一認證,其密鑰作爲數據讀取條件,而控制字節允許讀取寫入的情況下,讀取該卡某個區塊的制定數據識別操作,而不是密鑰!!
密碼破解的幾種方法:
1)密鑰列表當中的12個0是不存在的,還有就是16進制有Z的嗎?看來是我土了!
2)關於認證嵌套漏洞,這個因爲作者文章忽略了權限的部分,所以我可否忽略?因爲沒有權限,何來認證嵌套漏洞呢?
3)DarkSide***,僅僅是基於IC卡類別當中NXP公司所發佈的MIFARE
CLASSIC系列(S50/S70)而不是所有的IC卡!文中沒有說明問題究竟是存在於哪裏,我也曾經說過關於這個方面的問題,什麼是PRNG漏洞,以及PRNG漏洞和WEP的關係!所以不再多說
4)正常驗證過程獲取Key,首先SAM並非是正常,而是在不安全的對稱性算法當中增加了一個安全模塊,去加密彼此之間的通信安全,但就是基於讀卡器返回的數值是明文而存在了關於監聽***的內容,文中好像把我之前關於SAM部分非監聽部分的內容拿出來說之後,而沒有注意究竟問題是什麼!
SAM不是僅僅只是保存與讀卡器內的一個密碼模塊,這是SAM最簡單最基本的部分,但實際上SAM是基於UID進行分散式的運算,並非如文中作者所說這麼簡單!因爲就算非SAM所授權的卡也可以利用SAM進行破解!
5)另一方面,我比較懷疑的一個方面,這個所謂的USB攔截是否是基於交互的過程中?還是僅僅是基於掛載KeyA的時候的操作呢?當中如果是基於非SAM環境下,這樣子的通信監聽是存在的,我只是懷疑這個演示內容而已。
常用工具說明:
1)mfocGUI是mfoc的GUI版本!並非僅僅是基於認證嵌套漏洞,是基於默認密鑰+認證嵌套漏洞的整合。
2)Proxmark3的Darkside就是mfcuk!不要反過來,Proxmark3和mfuck不存在老爸老媽的!mfuck的團隊把代碼
移植去Proxmark3後就將mfuck停止更新了,而且你說錯另外一個事情就是,就是因爲出現錯誤的Nt才需要基於錯誤的Nt進行第二次的***,而不是更換另外一個Nt,更換這詞代表着***者存在多個Nt替換,可惜的就是不存在所謂的Nt進行更換!Nt是隨機的而不是已知的。
——————————————————-萬惡的分割線———————————————————-
首先,我要聲明我剛剛起牀,很迷糊迷糊地看完了作者的內容,然後很迷糊迷糊地寫下了這篇關於RFID破解兩三事的戲文,我沒有針對作者的任何意思,因爲我也不認識不瞭解不清楚不知道這位作者是哪位!我只是基於文中我所認爲的一些錯誤進行糾正或者二次介紹,我已經很久很久沒有寫過相關的文章,是因爲我腦子不好使轉不過來了,所以也沒有多寫什麼,既然有人寫了我就借花敬佛的去說說相關的東西!
請注意“RFID破解兩三事”所有的內容都是針對NXP公司的MIFARE CLASSIC系列卡!而不是所有IC或者ID卡!請不要隨意或麻木盲從測試!
請作者記住控制字節是什麼!