ID卡还分厚卡和薄卡,只读属性,一般用来身份认证等,常见于公司的门禁卡。我们去破解复制这种卡片一般要用T5577卡片。
IC卡的用处很多,由于具有数据可读写可交互读写的属性,所以被用在很多地方,比如公交卡、饭卡、梯控卡等。
IC卡的种类也非常多,常见M1(S50)卡、M0卡(地铁、公交卡)等。按照卡片容量还分1Kb、4Kb(社保卡)卡。我们复制这种卡片常用UID卡(中国魔术卡,便宜)、CUID卡(便宜)、FUID卡(贵)、CFUID卡(贵)等出自华强北的神奇卡片。
安全有攻防,卡片也有破解和防破解之道,所以就有上述神奇卡片。那些读卡器具备防破解,一般就称之为有防火墙。所谓穿墙就是这么个说法。
小biu的卡在经过钛合金眼鉴定后,没错,就是IC卡了。
(只有超帅的人才会看到里面的方框线圈)
2.2 作案工具
下面有请我们的作案工具隆重出场,本次介绍的工具主角是Proxmark3 EASY(穷人版,以下简称pm3),我们在X宝购买到的基本都是国内厂家抄人家的电路图研发改制而来,有钱的大佬,可以支持国外原厂哦~
多嘴一句,这玩意有很多版本,包括原厂都出了好几个版本,购买需结合实际,一般买个200多的可以了。
(全家福,黑的就是pm3,双usb,512m)
0x03 开搞
3.1 搞固件
固件可以理解为pm3硬件的操作系统,要破解卡片必须依赖于固件,目前主流两种固件:官方固件以及iceman固件,两者各有所长,至于啥所长,我也不晓得,知道的师傅可以告诉我一下。
至于X宝提到的那些软件么,其实就是做了这些固件命令的GUI界面还有密码库,方便我们一键操作(一键日卫星的那种
)。
上面的固件需要编译,小biu一开始用树莓派3B直接上kali开搞,结果忙活半天,HF(高频)电压一直为0v,不可用。不晓得是编译搞炸了硬件,还是硬件就是坏的(刚开始图便宜,买了另外一家的),最后就退货了。。。
这边提一下iceman有个新库,默认配置适用于新的RDV4硬件,对于以前的硬件,在编译固件的时候一定要参考说明,改下配置。
最后,在换了一家,多花几十块钱购买后,老老实实的用起了一键刷固件(iceman 3.1)。
(开软件m1卡读写软件破解版,插设备,输入COM口,一气呵成)
非Win10系统需要折腾驱动,网上大片教程啊~
(看见Have a nice day,即成功)
这边讲一个注意点:由于刷固件时,设备会断开并重连一次,如果卡在了Waiting for Proxmark to appear on com4这一步(两个灯常亮),可以选择电脑上改com口,或者拔掉线,按住pm3上的按钮,然后插上线,一会就会跳下一步了。在这个过程中,不能松开按钮啊,一直要等到Have a nice day出现!!!正常就几秒钟。
(pm3正常待机状态,会常亮左边的灯)
3.2 搞数据
下面正式开始读卡,破解卡片。
(设备测电压,测试硬件正常)
(放置卡片)
(读卡信息)
UID:卡片的身份证号,具有唯一值
TYPE:卡片类型
Answers to magic commands:判断是否是后门卡。
Prng detection:利用prng漏洞破解难易度
(开始一键自动破解)
这边自动破解就是首先尝试默认卡密码。每张IC卡出厂都会有默认密码,国内一般是FFFFFFFFFFFF。
找出了所有默认密码数据,然后尝试PRNG漏洞,但是攻击失败(之前读卡是Hard),所以iceman固件就有了hardnested攻击,即可利用其它扇区已知默认密码,去暴力猜解未知扇区密码。
(貌似只有iceman固件支持Hardnested)
老电脑劝退啊,该攻击很暴力的啊
事实证明,小biu的大奶还没退休,1分钟不到,跑出密码。同理可得KEYB。
到此步为止,所有数据已全部读出,如果只是需要去复制卡片,现在就可以直接去写卡了。
3.3 再搞数据
搞到全部数据,不分析一下,怎么能叫破解呢?所以,继续,分析数据之前,先补个知识,我这张1K卡,一共有16个扇区(0-15),每个扇区4个块(0-3),一共64个块。正常的S50卡的0扇区0块在卡出厂前就被写死的。0块前4byte为卡的UID号m1卡读写软件破解版,后面1位校验号,再后面就是厂家编号。每个扇区的最后一个块存储两个密码,中间为密码控制位,控制哪个密钥去解密以及是否可读等。
小biu这张卡的有效数据除了0扇区UID号,其余的都集中在1扇区,因为我们电梯也要刷卡,不同权限的卡能决定去哪些楼层,所以估计是我们梯控的数据。
对于1扇区的数据分析,有两种思路,一个就是我再借一个同事的卡,对比数据及权限,发现差异进行猜测。第二个就是花钱买数据,现在有很多可以一键分析数据的软件,还可以一键改相应参数。小biu采用了两者,一方面是白嫖了某个软件提供的免费数据,另一方面把我同事那张高权限卡数据也拿下来了。
下面先介绍我白嫖到的数据,还是很详细的哈,这个软件还是比较良心的,哈哈。不过要去修改数据就要收费了~
继续信息搜集,从电梯按钮分析,一共地面7层,地下两层。
此处即可大胆猜测时间和楼层号。
最后,在经过漫长的和同事py交易后,我也拿到了他的卡片数据并进行对比验证:
(左边是我同事的1扇区数据)
和同事的卡进行对比验证后,我哔了狗(
),他喵的,凭啥他是一张管理员卡哦,全楼层通达,无时间期限。事实上直接复制他的卡不就够了么~~~~~~
总结一下,总体上这张卡的数据比较少,还是比较简单的。我手持另外一张金博的梯控,9个扇区有数据,看的奔溃了。。。
3.4 写卡收工
上文所说的破解和防破解主要就是针对的0块区,UID卡就是指能无限次修改0扇区,但是有后门,很容易被读卡器检测到。CUID在UID卡基础上改进,去除了那个后门。FUID是CUID的再进化版,0扇区只能改一次后锁死,不能再修改,然后和正常S50卡无区别。至于价格么,越高级的越贵。
写卡其实么的啥讲的,也是一键操作,如果是用命令行,每写一行,敲一行命令。最主要的是要尝试穿墙,从uid卡到cuid卡再到fuid卡,总有一卡合适,也可以Fuid卡一步到位(较新的梯控直接推荐这个)。
(成卡,我是FUID卡才有效)
0x04 写在最后
第一次写文章,不当之处,请多包含。由于采用了Windows软件,所以没有使用命令行那么炫酷,但是简单能达到目的呀~
对于1K卡而言,破解读到数据现在应该都没有问题,就看数据能不能分析出点啥了哦~
注册会员查看全部内容……
限时特惠本站每日持续更新海量各大内部创业教程,年会员只要98元,全站资源免费下载
点击查看详情
站长微信:9200327
