下載
軟件鏈接:https://www.lanzous.com/i83c43a 密碼:e5v4
軟件源碼:https://github.com/ikarus23/MifareClassicTool
這款軟件全稱叫做MifareClassicTool,中文翻譯過來就是Mifare經典工具,簡稱MCT。
偶然的發現
我第一次瞭解到這個軟件的時候還在上高中,算是一次意外瞎想吧。因爲當時我們住校生打熱水的卡就是M1卡,卡里的錢用完要去充錢,充值的時候把卡放在一個便便小方盒子上(後來才知道那是讀卡器),“滴”一聲就充好了,然後我們把錢給那個充值的老頭。我當時就想如果我們自己往裏面隨意充錢就好了,然後就到網上去找帖子,還真找到一篇帖子(那篇帖子好像是2014年的,具體時間記不清楚了),有人成功的把學校的飯卡的錢給改了(現在想改幾乎不可能了,因爲現在刷卡設備全部都聯網了,一旦刷卡機檢測到金額與數據庫中金額不匹配,就會立刻將卡里的數據糾正過來)。
那個老哥用的設備是PN532 + MCT,PN532能買到,但是我高中那會兒想用MCT還真不太容易,幾乎沒有手機有NFC功能,我當時找了我們整棟宿舍樓都沒有找到有NFC功能的手機 +_+!!! PN532更別說了,那時候也沒買,估計買過來也不會用。而且我是住校生,一個月纔回家一趟,改卡數據的事情就撂那了,但是一直惦記着這件事,直到上了大學。
大二的時候賺了點錢,就買了一個ACR122U,這個設備是專門用來解M1這類卡的,而且我們學校的飯卡和門卡也都是這種卡。因爲我大一的時候拿我舍友的手機(帶有NFC功能的)掃描過,顯示是M1卡。其實大二買ACR122U,一方面對這個M1卡好奇已久,另一方面是想改卡里的錢洗澡,嘿嘿 >_<!!!。但是沒有成功,因爲我們學校的卡是聯網的,這個時候我知道,那個老哥當時能改成功,因爲他們學校卡沒有聯網。
雖然設備都賣了,但是我幾乎是啥也不懂。沒有辦法,我只好埋頭搗鼓了幾天,發現這個設備是可以把一張卡里面的左右數據全部解出來的,也就是說如果我能夠把這些數據完全導入到另一張卡里面,就相當於能夠複製卡了。要知道我們學校門卡丟了重辦可是要15RMB一張的,還要帶上其他三個舍友的卡,又麻煩又貴。而我能夠複製卡的話豈不是完美了?要知道淘寶上可以複製數據的白卡只要1塊多一張,而且量大的話價格更低。這其中的暴利,看懂了吧?
辦卡業務
之後的一段時間裏面我就幫很多認識和不認識的人(朋友介紹的,真不認識我是不會幫他複製門卡的,因爲這很危險)“辦門卡”,我也不貪心,3RMB一張。到現在估計也弄了將近100張了吧。有時候也會做做好事,只要我撿到卡基本上能找到失主,不管卡上有沒有寫名字。因爲我可以用ACR122U解出卡里的數據,從數據中可以讀取出姓名,班級,學號等等信息,這樣找失主就非常容易了。就這樣,很長一段時間裏都是在幫別人複製門卡。
因爲我們學校的飯卡和門卡是分開的,出門就要揣在兜裏,一不小心就掉了。如果哪天自己一個人在宿舍,門卡沒帶的話,那就只能被鎖在門外了。別問我怎麼知道,這些我都親身經歷過。所以我就想有沒有什麼方法能夠最大限度降低這些事情發生的概率。一開始主要是針對門卡,我想到一個辦法,就是直接搞一個線圈(因爲M1卡里面就是一個線圈),把門卡數據導進去,放手機殼後面,然後刷手機。有人可能要說了小米手機不是可以模擬門卡的嗎?兄弟,這個我之前就幹過了,沒用,一方面那個時候我理解的還不是很深入,所以沒成功。後面完全搞明白M1卡了,我又用小米手機(xiaomi6)搞了一次還是沒用,看樣子是我們學校感應門鎖太垃圾了+_+!!!。
然後就開始搞了,我上網找線圈時候,發現已經有人做了這個創意,東西不太大(比一塊錢稍微大一點),賣的還賊貴,十幾塊一個。我之前找過線圈,也就幾毛錢一個,咋就能賣到十幾塊呢?而且買的人還不少。我發現那個十幾塊的東西,就多了一個灰色的紙。當時有點蒙懵逼,灰色的紙是幹啥用的,於是查資料,原來這種紙不是紙,而是一種叫做鐵氧體的特殊材料,只不過做得很薄而已。這種東西,可以消除手機對線圈讀寫時候的干擾(能吸收或者大幅減弱投射到它表面的電磁波能量,從而減少電磁波的干擾的),如果沒有這個東西的話,線圈放在手機後面是無法被刷卡機讀取的。但是我就搜了一下,淘寶上也有,稍微貴點,3塊多一張。但是,賣十幾塊的話還是暴利呀。。。
初次改卡
買了鐵氧體吸波材料和線圈,就開始改卡了,直接把門卡數據導入到線圈(這個線圈所有的扇區都是可讀可寫的,而M1的0號扇區的部分區域是不可更改的)裏面,放上鐵氧體吸波紙,一次性成功。放在手機直接就可以刷,非常方便。而且我習慣隨時拿着手機,所以基本不用擔心門卡沒帶了。
但是這樣的卡慢慢也暴露出問題,不防水,而且線圈是直接暴露出來的,非常容易損壞,一不小心線圈就斷了。後來我想了好久想到一個辦法,塑封!就是給照片封上一層塑料薄膜防止照片被氧化弄髒的技術,要搞的話也很簡單,買一個塑封機就行了。
然後就做出了第一代可以放在手機後面刷的塑封的門卡。之後又把飯卡做成線圈,和門卡的線圈放到一起了,這樣出門就不用帶卡了直接帶一個手機就可以了,簡潔!
這段時間我又重新收集了一些M1卡方面的專業論文,研究了內部的結構和數據的結構,對M1卡的認識又加深了一層,例如扇區,塊,密鑰A,密鑰B,控制位,每個扇區負責什麼功能等等。
又一次偶然的發現
那幾天在Google商店下了另一個可以掃描M1的軟件,晚上沒事就把門卡和飯卡拿出來掃,突然驚奇的發現,門卡只有11號扇區是加密的,飯卡只有0,14,15號扇區是加密的。我前兩天剛看了M1的論文,M1的一個扇區就可以負責一種功能,也可以多個扇區組合負責一種功能。
那麼如果我把門卡11號扇區數據導入飯卡,飯卡是不是就能當做門卡用了呢?
反過來,將飯卡0,14,15號扇區的數據導入門卡,門卡是不是就能當做飯卡用了呢?
根據實踐證明,第一種可行,第二種不可行。後來我根據實驗找到了原因,飯卡需要驗證0號扇區的UID號,標準M1卡UID是獨一無二不可更改的,所以第二種方法失敗了。反正兩個成功一個。我的目的就到了,因爲我成功的將兩張卡合二爲一了。
校園卡終極版
根據對學校所有讀卡設備的多次刷卡實驗,我找到了最適合的芯片類型(CUID)和線圈大小(49mm*49mm),做出了最終版。這個卡可以直接夾在手機殼後面刷卡消費,刷門禁。
念念不忘,必有迴響。
從最開始的幫別人複製卡,到之後的改造,前前後後有將近1年的時間(如果從高中開始算,那就是4年多了)。從一開始的好奇啥也不懂,到後來實現自己的小想法,這個過程充滿了偶然。如果不是好奇心,根本就不會買ACR122U,更不會會找資料搞清楚卡的內部結構,如果不是一直重複接觸卡里面的數據,也不會有後面的靈光乍現。創意的想法會在你意想不到的時候在你的腦子裏跳出來,但是你應該是一個念念不忘的有心人。