能不能把电梯卡功能复制到手机上
能不能把电梯卡功能复制到手机上?首先需要先明确待破解的卡是飞利浦(恩智浦)的MF1 S50卡,即常说的M1卡、S50卡、Mifare 1K卡……
其他卡片比如低频卡,手机NFC不支持,破解完成仅能复制而不能手机模拟,这里暂不讨论
Q:如何确定自己的卡是否能够模拟?
A:直接使用手机读取并模拟(以MIUI系统为例,使用“小米钱包”),将卡靠近手机,如果手机有反应,那么恭喜,这是13.56MHz的高频卡,手机NFC支持。
Q:如何确定自己的卡是否加密?
A:直接使用软件进行卡的复制和模拟,以小米钱包为例,点击添加门卡,将卡放置于手机背面NFC区域,直接可以模拟的,为非加密卡,刷卡机仅需要验证明文信息。
(我楼下门禁就是这样的,形同虚设)
Q:如何确定自己的卡加密到何种程度(部分扇区加密、全扇区加密)
A:可以在手机上安装使用MIFARE Classic Tool工具来读取卡信息,如果有显示“未找到keys(或者扇区损坏)”,则表示该扇区加密,如果全部都是……那么你很可怜,这是一张全加密卡,你需要付出较大代价才可以破解
如何利用该安卓应用黑掉rfid支付卡
随着智能设备以及NFC的普及,用RFID卡支付变得越来越流行。现在的非接触式卡片(包括但不限于社保卡、饭卡、交通卡、门禁卡等)都是使用的RFID技术。与此同时,RFID智能卡也越来越受到攻击者的关注。
专攻RFID智能卡的APP
这是一款名为Punto BIP!的安卓APP,它可以用来黑掉NFC电子支付系统Tarjeta BIP!,而且犯罪成本非常低,人们甚至在各大论坛和博客都可以下载到。趋势科技发布了一篇文章,阐释了 如何利用该安卓应用黑掉RFID支付卡 ,里面专门讨论了RFID支付的风险。
Freebuf小科普
RFID技术:无线射频识别技术,是一种通信技术,可通过无线电讯号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。
NFC技术:即近距离无线通讯技术,该技术由免接触式射频识别(RFID)演变而来。
MIFARE卡:目前世界上使用量最大、技术最成熟、性能最稳定、内存容量最大的一种感应式智能IC卡。Mifare系列卡片根据卡内使用芯片的不同,分为Mifare UltraLight,又称为MF0;Mifare S50和S70,又称为MF1;Mifare Pro,又称为MF2;Mifare Desfire,又称为MF3。
犯罪成本低:普通人分分钟变黑客
qQFvuu.png
在智利那个交通卡案例里,即使不懂技术的犯罪者,只需要在存在NFC功能的安卓手机上安上该APP,然后把该交通卡贴近手机屏幕,并按下“Cargar 10k”,那么就可以立即为交通卡充值1万智利比索(约合17美元)。钱虽不多,但长期下来还是很大一笔收益。
这款安卓APP有四个主要功能:
1、número BIP:用于取得卡号
2、saldo BIP:获得卡内可用余额
3、Data carga:充值可用余额
4、número BIP:改变卡号
最后一个功能尤为危险,卡号被更改的后果非常严重,一旦这种技术被恶意利用,会造成极大的负面社会影响和经济损失。
原理分析
通过对该安卓程序的源码分析,我们发现攻击者会把事先准备好的数据写进卡里,然后随意的调节卡内余额。 它之所以能够任意读写RFID卡中的数据而不受 认证 机制所限制,是因为相应的智能卡为老版本的Mifare中存在多个 安全漏洞 。这些漏洞允许黑客使用普通设备(如Proxmark3)克隆改写Mifare Classic卡里的内容。
Mifare-RFID-implementation-Proxmark3.jpg
黑客可以轻易地通过使用普通工具, 破解 该卡的认证密钥。在认证密钥和本地NFC的支持下,攻击者可以轻易的对卡重写,而再克隆一张新卡也是轻而易举。
Mifare-RFID-Key-cracking-tool.jpg
本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
为了便于大家进行安全研究,在这里提供通过搜索引擎得到的该恶意软件 下载源 。不过据某国外安全研究人员所述,与原来的程序相比,升级后的版本已经有所改变,想要下载研究的童鞋请谨慎。
社保卡、支付卡和饭卡存在风险
不仅MIFARE Classic卡受到影响,连MIFARE DESFire和MIFARE Ultralight (上文中有介绍) 卡也不幸中招。
趋势科技称,目前受影响的至少有三种卡片:社会保障卡(关联银行服务)、支付卡和就餐卡。社会保障卡(关联银行服务)、支付卡是MIFARE DESFire卡,它们容易受到 侧信道攻击 ;就餐卡是一种Mifare Classic卡,攻击者可以对其额度进行修改;
00.jpg
这些卡内的密码系统发生信息泄漏时若有监控措施,那么密钥可以在七小时内恢复。如果密钥不随机,这些卡会像MIFARE Classic一般被修改克隆。更糟的是,就连信用卡也能被配备有NFC的移动设备的安卓应用所操作。
为什么这么危险?除了因为这些卡片采用的是过时的技术外,也有节约制卡成本或者说“便宜无好货”的原因。
专家建议
留意卡内余额,设置扣费提醒,并检查是否自己使用的RFID卡是文中所述的哪一类。
读写器对MIFARE 1卡的详细操作步骤和流程
1.启动读写器
启动电脑,打开RFID实验箱,取出高频读写器用USB连接线连接电脑。在电脑上打开读写器演示软件YX7036DemoCN.exe,进入主界面,打开端口。
2.读取lSO14443A协议卡片信息
1)将读写器演示软件选项切换到lSO14443A协议(图2-1中1),点击“切换到lSO14443A模式”(图2-1中2),点击“打开射频”(图2-1中3),此时高频读写器正式进入lSO14443A读写准备状态。
2)点击“Request”(图2-1中4),此时卡类型即显示在右边(图2-1中12),执行Request命令后,若射频场中有ISO14443A标签存在,“卡类型”文本框将会显示该标签的类型代码;否则,状态栏提示“无ISO14443A电子标签可操作”。由于该命令执行的是Request(All),处于任何状态的标签均会应答;如果调用Request(Idle),则只有处于Halt状态之外的标签才能应答。
3)点击“Anticoll”(图2-1中5),Mifare One 防冲突获取射频场中一张Mifare One标签的UID,如果防冲突执行成功,“卡号”文本框将会显示获取到的4字节标签UID(图2-1中13);否则状态栏显示“防冲突失败”。ULAnticoll: UltraLight 防冲突:获取射频场中一张UltraLight标签的UID,如果防冲突执行成功,“卡号”文本框将会显示获取到的7字节标签UID;否则状态栏显示防冲突失败。
4)点击“Select”(图2-1中6),选择指定UID的标签,以后的所有操作均针对该标签。如果选择成功,“卡容量大小”文本框会显示标签存储区的大小(图2-1中14)。注意:UltraLight标签无需执行该命令,在ULAnticoll过程中已经进行了Select操作。
图2-1
3.读写lSO14443A协议卡片数据
对lSO14443A协议卡片数据进行读写之前先要对电子标签进行证实操作,点击“AuthKey”(图2-1中8)操作会读取“读写”框中的密钥,用指定的密钥类型证实所选的扇区。如果填写的密钥与标签扇区上的密钥匹配,则证实成功,状态栏显示“AuthKey:执行成功”。认证成功后,就可以对数据区的内容进行读取或修改了。选择扇区号(图2-1中15),选择块号(图2-1中16),点击“Read”(图2-1中17),成功则在数控块中看到所操作的数据块数据(图2-1中19)。在数据块框中(图2-1中19)输入需要写入数据块的数据,点击“Write”(图2-1中18),成功即在左下角显示“Write执行成功”。
注意:
1. Mifare one S50(共16个扇区)
块0~块2为数据块;块3为密钥块.
Mifare one S70(共40个扇区)
当扇区号=31时,块0~块2为数据块;块3为密钥块;
当扇区号31时,块0~块14为数据块;块15为密钥块.
2.要写入数据时,数据的长度必须为16个字节.
3.读UltraLight标签时,请将扇区号设为0,块号即为UltraLight标签对应的页号.读取的内容是从选择的页号开始的连续4个页.
4.写UltraLight标签时,只有低四个字节能被写入标签,余下的12个字节为0;
另外,有专用于UltraLight标签的写命令ULWrite,
知识学习
S50卡有lk bytes共16个扇区,每个扇区有4个块,其中第1扇区第块是卡序列号,是只读的,不能写。密钥存放在每个扇区的块3。算存储密钥块的算法是:x=s*4+3:其中s表示扇区号(0-15)。
1、Ml卡分为16个扇区,每个扇区由4块(块O、块l、块2、块3)组成,(也将16个扇区的64个块按绝对地址编号为0-63)。
2、第0扇区的块0(即绝对地址0块),它用于存放厂商代码,已经固化,不可更改。
3、每个扇区的块0、块1、块2为数据块,可用于存贮数据。
数据块可作两种应用:
★用作一般的数据保存,可以进行读、写操作。
★用作数据值,可以进行初始化值、加值、减值、读值操作。
4、每个扇区的块3为控制块,包括了密钥A、存取控制、密钥B。具体结构为:密钥A(6字节) 存取控制(4字节)密钥B(6字节)
1.启动读写器
启动电脑,打开RFID实验箱,取出高频读写器用USB连接线连接电脑。在电脑上打开读写器演示软件YX7036DemoCN.exe,进入主界面,打开端口。
2.读取lSO14443A协议卡片密匙
依次点击图3-1中1-7(具体见实验二),选择块号3(图3-1中8),点击“Read”(图3-1中9),就会看见下面密匙块显示框中显示密匙为:000000000000 FF078069 FFFFFFFFFFFF(图3-1中10)。其中密码A(6字节) 存取控制(4字节) 密码B(6字节)。密匙相关知识见后资料。
图3-1
3.修改lSO14443A协议卡片密匙
依次点击图3-1中1-7(具体见实验二),选择块号3(图3-1中8),点击“Read”(图3-1中9),就会看见下面密匙块显示框中显示密匙为:000000000000 FF078069 FFFFFFFFFFFF(图3-1中10)。在修改密匙中选择新密匙B(图3-2中1),在新密匙输入框中输入新密匙“222222222222”(图3-2中2),点击“修改密匙”(图3-2中3),修改成功可以在左下角看到“修改密匙”执行成功,选择密匙所在的块号3(图3-2中4),点击“Read”(图3-2中5)。可以看到新密匙已经修改成功(图3- 3)
4.MF1卡修改各区块控制位值和数据
(一),以常用设置"08 77 8F 69"控制条件为例,先搞清楚它――具有的访问权限。
1、对"08 77 8F 69"值进行计算,该值定位于各区块3的6,7,8,9四个字节内,字节6=08,字节7=77,
字节8=8F,字节9=69(默认值,不予计算)。
2、例如:字节6=08,对应其二进制值=00001000, 则对6,7,8这三个字节进行二进制转换结果见下表:
4、对以上6,7,8字节的存取/控制二进制已取反值,依照表2,表4块位转换为各块控制值,如下表:
注意: 高4位的各块值=低4位的各块值时,其值可用。高4位值≠低4位值时,其值不可用!
5、查对访问权限(数据存取控制依照表3,块3存取控制依照表5),该例"08 77 8F 69"的访问权限为:
◆ 块3 = 011:权限为:KeyA,KeyB均不可读,验证KeyB正确后可改写KeyA和KeyB,验证KeyA或KeyB正确后可读"控制位"。在此可见密钥KeyB的重要性,KeyB不正确是无法看到块3控制值,更无法修改密钥。
◆ 块2 = 块1 = 块0 = 110:权限为:验证KeyA或KeyB后可读该块数据,减值以及初始化值,只有验证KeyB 正确后才可改写该块数据,在此可以看到密钥KeyB对改写数据块也起着关键性作用。
(二)、"08 77 8F 69" 控制条件设置步骤:
由(一)可知:KeyB设置后为不可读,并且改写数据和改写控制位都需要正确验证它,故KeyB设置后程序
操作员必须妥善保管KeyB值,否则以后改写数据和控制位时,不正确的KeyB值将无法实现卡的任何操作!!!
1、修改块3控制位的值:最初的各区块3内的KeyA,KeyB都是厂商12个"F"默认值(KeyA在任何条件下均为不可读,大部分读写机程序表现KeyA为未知的12个"0" ),在修改控制值时,先不要修改默认密码KeyA和KeyB,在控制位修改成功后,再去更改新密码值。即先对块3的控制位进行修改(默认值FF 07 80 69改为新值08 77 8F69)并执行写操作。控制位写成功后,KeyB亦为12个"0"不可读了,但仍是隐藏的12个"f"默认值。
2、修改块3的KeyA和KeyB值:控制位08 77 8F 69值写成功后,验证KeyB正确后方可改写KeyA和KeyB新密码。在密码操作模式键入要改写区块之先前密码B(先前密码为默认值时,则不需改动和加载),加载后反回数据操作模式,再进行读值,KeyA和KeyB值的改写。
3、修改块0~块2中数据:由新的控制条件08778F69可知,要修改数据,必须先验证KeyB,故先设置密码操作为KeyB认证方式,加载后再返回数据操作模式,对要修改的数据块进行值的改写操作。
4、上例中分析了"08 77 8F 69"的访问条件及其改写步骤,对用户的其它控制条件亦可参照应用。
MF1卡常见问题及处理建议
① 盲目操作:造成某些区块误操作被锁死不能再使用。应当仔细参考表3表5的控制权限后,予先得出操作后的结果是否适合使用要求,并且列出操作顺序表单再操作。最好授权程序员对块3的设置作专人操作。
② 丢失密码:再读写时造成密码认证出错而不能访问卡。特别要求在对MF卡进行块3编程操作时,必须及时记录相关卡号的控制值,KeyA,KeyB等,而且应当有专人管理密码档案。
③错误设置:对MF1卡的块3控制块了解不透彻,错误的理解造成设置造成错误的设置。依照表2可知,目前Mf1卡的控制块仅只有8种数据块访问控制权限和8种控制块设置权限,超出这16种权限的其他代码组合,将直接引起错误设置而使卡片报废!
④ 极端权限:当块3的存取控制位C13C23 C33 = 110或者111时,称为极端权限。除特殊应用外一般不被使用!启用前认真权衡对密码读写,存取控制的锁死是否必要,否则,数据加密后即使有密码也无法读取被锁死的数据区块(看不见)!
⑤ 设备低劣:低劣的设备将直接影响卡的读写性能。对MF卡进行块3编程操作的设备,特别要求其性能必须十分可靠,运行十分稳定!建议选用由飞利浦公司原装读写模块构建的知名读写机具!
⑥编程干扰:在对块3进行编程操作时,不可以有任何的"IO"中断或打扰!包括同时运行两个以上程序干扰甚至PC机不良的开关电源纹波干扰等,否则,不成功的写操作将造成某个扇区被锁死的现象,致使该扇区再次访问时出错而报废。
⑦ 数据出错:在临界距离点上读卡和写卡造成的。通常的读卡,特别是写卡,应该避免在临界状态(刚能读卡的距离)读卡。因为临界状态下的数据传送是很不稳定的!容易引起读写出错!
⑧ 人为失误:例如,密码加载操作失误,误将KeyA加载为KeyB;或者是误将其他制卡厂约定的初始密码值如a0a1a2a3a4a5,b0b1b2b3b4b5加载到本公司生产的MF1卡内;或者在初始状态下(密码A=000000000000【隐藏状态,实际为ffffffffffff】,控制位=FF 07 80 69,密码B=ffffffffffff【可见】)若不经意地将KeyA=000000000000 删除后又重新输入12个"0",并加载了它!这时无意中已将KeyA原来12个隐藏的"f",修改成了12个"0",其后果可想而知!
⑨ 卡片失效:读写均无数据传送,读写器报告"寻卡错误"!卡片被超标扭曲,弯曲而造成内电路断裂。
⑩ 读写距离过近:与用户使用的读写器性能有关。标准型MF1卡的读写距离可达250px(在飞利浦公司的标准读写机具上测试的最大距离),国产知名品牌读写器一般可达5-250px。尺寸较小的匙扣卡,其读写距离当然比标准卡近许多,但只要可靠的读写距离≥5~10mm以上,一般不会影响正常使用!
要完整的实在太多了 还不明白找我
iphone模拟mf1卡
可以。MF1卡属于IC卡的一种,是高频的。用来传输信号的,在苹果的NPC功能里进行mf1卡的添加即可。
如何判定IC卡类型,如何破解密码?
1. 如何判定卡的类型 为了您更快捷的解决问题,您首先需要明确卡的类型型号。如果您难以确定,也可以将卡由速递发给我们来为您察看类型及型号。1.1 由外观来判定接触式逻辑加密卡表面一定有镀金触点,表面没有任何导电点的卡必为射频卡; 外形如名片且表面没有触点,用强光由背面照射观察卡内阴影,如阴影宽约为1毫米左右多为MF1 /Mifare One/M1)卡;如阴影宽约为3毫米左右多为T5557/T5567/E5550。1.2 根据卡的用途判断宾馆门锁卡:如果表面有金色的金属触点,则多为4442型卡,可以有破解装置和复制装置。如果表面没有金属触点则是非接触卡(又称感应卡),可能是T5567/T5557型,也可能是MF1 S50型卡。判断到底是T5567还是S50卡,可以按照前述1.2的办法。对于T5557卡,可以提供密码破解装置和复制装置。对于S50卡,目前还不能提供破解装置。只能委托破解,破解成功后可以提供复制器自行发行。桑拿锁:外形如纽扣电池,都是DS1990/DS1990A型信息钮扣,可以提供复制器。饭堂卡、门禁卡或一卡通:一般都是MF1 S50型卡。只能委托破解,破解成功后可以提供复制器自行发行。2. 提供的服务特别声明:所提供的服务仅限用于合法用途!目前,我们可以为您提供破解/解码/克隆/复制服务的IC卡类型主要有:2.1 接触式逻辑加密卡:SLE4442/SLE5542;SLE4428;AT88SC102;AT88SC1604;AT88SC1604B现货提供密码破解装置和复制装置2.2 信息纽扣/TM卡/碰碰卡:DS1991/DS1425现货提供密码破解复制装置和ROM替代扣2.3 信息纽扣/TM卡/碰碰卡:DS1990/DS1990A 现货提供复制装置和替代扣,1个替代扣可替代256个DS1990/DS1990A2.4 信息纽扣:DS1982;现货提供复制装置2.5 非接触式IC卡/射频卡/感应卡/智能卡(125K):T5557;T5567;E5550;现货提供密码破解装置和复制装置2.6 非接触式IC卡/射频卡/感应卡/智能卡(13.56MHz):MF1 ( Mifare One, M1)目前仅提供密码破解服务,特殊需求可商谈。
jpg黑客可以轻易地通过使用普通工具, 破解 该卡的认证密钥。在认证密钥和本地NFC的支持下,攻击者可以轻易的对卡重写,而再克隆一张新卡也是轻而易举。Mifare-RFID-Key-cracking-tool.jpg