手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录一、需求场景近来小区安装了智能门禁,但只配发了一张门禁卡,不方便使用,于是产生了用手机模拟门禁卡,或者复制一张门禁卡的想法。本文使用的软件:(CSDN无法修改下载积分了。。。)包括手机NFC读写卡神器MifareClassicTool(MCT)2.2.5最新版、手机读卡工具NFCTagInfo、NFC卡模拟软件Cardemulator、RE管理器,以及一款NFC模拟…

大家好,又见面了,我是你们的朋友全栈君。

 


 

一、需求场景

近来小区安装了智能门禁,但只配发了一张门禁卡,不方便使用,于是产生了用手机模拟门禁卡,或者复制一张门禁卡的想法。

本文使用的软件:(CSDN无法修改下载积分了。。。)

包括手机NFC读写卡神器Mifare Classic Tool(MCT)2.2.5最新版、手机读卡工具NFC TagInfo、NFC卡模拟软件Card emulator、RE管理器,以及一款NFC模拟的小工具0.4(适配机型不多)。

(由于原理一致,本文只侧重于讨论手机NFC写白卡,不讨论PN532、PM3、COPY5等设备读写卡。)

(本文是对研究过程的记录,只作学术研究,作者遵纪守法,是个良民。)

二、卡片分类

M1卡:全称Mifare classic 1K,普通IC卡,0扇区不可修改,其他扇区可以反复擦写。通常我们使用的门禁卡、电梯卡都是M1卡。

M1卡是NXP(恩智浦半导体)公司研发的IC卡,执行标准是ISO/IEC14443 Type A,读写频率是13.56MHz。目前大多数手机厂商使用的NFC芯片都是NXP,另一部分则是BRCM(博通)方案,均执行同一标准,这是手机读写M1卡的技术基础。

UID卡:普通复制卡,可以反复擦写所有扇区,门禁有防火墙则失效。

CUID:升级复制卡,可以反复擦写所有扇区,可以穿透大部分防火墙。

FUID:高级复制卡,0扇区只能写入一次,写入后变为M1卡。

UFUID:超高级复制卡,0扇区只能写入一次,封卡后变为M1卡,不封卡变为UID卡。

复制卡均可在网上购买,有普通卡片、钥匙扣、滴胶卡等类型,CUID通常1.5元/张,越高级的卡越贵。

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

三、M1卡的结构

(计算机领域的计数均是从0开始)

(M1卡标准储存的数据使用16进制,简称HEX,即由0-9、A-F组成,也写作0xAA)

    (一)存储结构

Mifare classic 1K,即存储容量1K=1024Byte,包括16个扇区,每个扇区含4个块,每个块16Byte.

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

第0扇区比较特殊,0区0块前8位为厂商UID码,可以理解为M1卡的识别码。

0-2块为储存内容区间。

3块为系统保留区间,用于存放卡密码和控制码,其中:

3块前12位为keyA(密码A),3块后12位为keyB(密码B),3块中间8位为控制码。

A/B密码的默认值为12个F或0,翻译为2进制即4*12个1或0

控制码默认值为FF078069,意思是A密码(非默认情况下)不可见,B密码可见,读写验证A密码。

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

M1卡结构的参考文章

(二)读写权限

M1卡有4种主要权限:读、写、增量、减量。

以及2种附权限:读写控制码、读写A/B密码。

每种权限都要使用A或B密码、并在控制码约束下来操作。

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

 

基于M1卡的结构及读取权限特点,M1卡又可以分为非加密、半加密、全加密三种类型。

非加密:16个扇区的A/B密码均使用默认值。

半加密:0扇区外的某一个或多个数据扇区A/B密码不是默认值。

全加密:所有扇区A/B密码不是默认值。(由于M1卡的加密逻辑已经被公开,所以所有的M1加密卡都可以被破解,破解能力PN532<PM3<COPY5)

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

四、防伪系统的原理和破解

常见的防伪系统有三种,

一是加密型,通过对扇区进行加密实现防伪。单纯的加密型已经可以通过PN532、PM3等工具完成破解。

虽然卡A/B密码可以被破解,但真正破解的重头戏是在于如何找出卡信息的存储规律,从而进行自定义修改等操作。

二是篡改型,刷卡时系统尝试写入0扇区,如果成功,则卡片作废(CUID特性,0扇区可反复擦写)。

三是滚码型,每次刷卡,系统都从特定扇区读取验证一段校验码,并写入新的校验码。如果不能通过多次刷卡找到校验码的规律,则不可复制。

五、卡模拟及复制

(由于手机NFC的特性,通常用手机模拟M1卡时,只模拟8位厂商UID码。)

(使用手机模拟M1卡,必须ROOT,因为原生安卓不开放NFC的控制API)

(小米、华为可以通过自带的钱包功能实现模拟,无需ROOT)

了解了上述M1卡的一些基础知识后,再进行卡模拟或复制效率就高了。

    (一)手机模拟M1卡

1、识别手机NFC的类型

由于不同手机厂商使用的NFC芯片不同,首先要确认自己的手机是什么NFC芯片,执行了什么协议标准。方法是用另一台手机使用NFC TagInfo识别目标手机,

  • 情况1. 识别不到,或被反向识别(即目标手机反而识别出了另一台手机的识别码)。

  • 情况2. 多次识别,目标手机UID没有变化。

  • 情况3. 多次识别,目标手机UID是08开头的随机值。

上述情况1./2.通常出现在安卓7.0以下,或国产手机阵营中,说明可以通过最简单的“直接修改配置文件”的方法完成M1卡模拟。

上述情况3.通常出现在安卓7.0以上,或三星S6以上产品中,只能通过“间接修改配置文件”的方法完成M1卡模拟。

2、直接修改配置文件

(1)利用模拟APP

大多数NFC模拟APP的原理都是利用ROOT权限,修改手机NFC的配置文件,改变默认应答码。

安卓的NFC配置文件保存在/vendor/etc/目录下,根据芯片的不同,分为libnfc-nci.conf、libnfc-nxp.conf和libnfc-brcm.conf

现在已经有成熟的APP可以完成模拟,比如NFC卡模拟软件Card emulator。该软件 V4.0.1以前的普通版本有广告,但没有模拟卡数量的功能限制。其配置文件存放在手机存储目录下的/card emulator/cards.json中,可以使用文本编辑器修改。

(2)利用RE管理器

这个方法的原理和上述APP的,修改过程网上很多,这里不再赘述,可以参考文章1文章2。 

3、间接修改配置文件

如果出现前述情况3.,说明系统不支持修改配置文件改变NFC应答码,这是ISO/IEC 14443-3协议中关于冲突检测的安全性要求。

间接修改的方式需要通过修改NCI层的libnfc-nci.so函数,来实现控制NFCC的目的,从而改变NFC随机应答码。

操作过程很复杂,不推荐使用,具体可以参考文章

    (二)复制卡

不希望ROOT手机的玩家可以购买复制卡进行复制。

购买哪种复制卡要根据原卡情况进行选择,如果原卡是非加密卡,或是内容较简单的卡,推荐购买CUID,也可以买些UFUID以备不时之需。

MCT是手机读写M1卡的神器(无需ROOT),其功能包括读写卡、分析卡内容(APP中称作‘转储’)、自定义A/B密码。

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

MCT自带了两种密码字典:

  • std.keys(如12个F/0等常用的密码组合)

  • extended-std.keys(如A1B2C3等常见的密码组合)

在读写卡时需要加载这些密码字典,来完成解码。

也可以自定义密码,或是下载一些字典文件,用手机解码(手机的运算速度不如电脑,不推荐用手机解码)
 

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

MCT的操作网上有很多,这里写一些自己操作的心得。

1、通常第一次写白卡时(CUID等),先编辑好需要写入的卡内容(即转储文件),用“写转储(克隆)”,即dump模式,一次写入一个或多个扇区。

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

2、非常推荐第一次写白卡时就改写默认控制码,使用【08778F69】,意思是A密码用于读取,B密码用于写入,A可见B不可见。(操作这一步一定要牢记B密码)

手机NFC模拟M1门禁卡、写CUID白卡的一些研究记录

使用这一控制码的好处:

(1)可以通过修改B密码,防止别人或门禁防伪系统覆盖写入你的CUID卡。

(2)可以防止默认控制码dump写入后出现A密码不可读的情况。

(3)后续可以通过MCT指定位置针对性地修改部分块信息,不需要整卡格式化。

3、如果是全卡复制型写入白卡,在复写时,要先格式化全卡。

六、结语

本文记录了作者使用手机NFC模拟M1门禁卡,以及写CUID白卡的一些研究过程,其中仍有不少瑕疵。随着研究的深入,也发现M1卡和安卓系统有很多值得花时间探索的地方,下一步学习计划写一个针对间接修改NFC配置文件的APP来实现卡模拟。


博学之,审问之,慎思之,明辨之,笃行之。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/132834.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • Python体系练手项目200例(附源代码),练完可显著提升python水平(鲲鹏编程–Python教育新物种)

    个人公众号yk坤帝后台回复项目一获取整理资源1.十转二2.十转八3十转十六4.字符串转字节5.转为字符串6.十转ASCII7.ASCII转十8.转为字典9.转为浮点类型10.转为整型11.转为集合12.转为切片13.转元组14.转冻结集合15.商和余数16.幂和余17.四舍五入19.门牌号18查看变量所占字节数20.排序函数21.求和函数22.计算表达式23.真假24.都为真25.至少一个为真26.获取用户输入27.print用法

  • temptation系列_dramatical murder攻略

    temptation系列_dramatical murder攻略投影投影是JMESPath的关键特性之一。它允许您将表达式应用于元素集合。有五种投影:列表投影切片投影对象投影展平投影过滤投影处理投影需要注意的点投影分为两个步骤。左侧(LHS)创建一

  • Nginx的 HTTP 499 状态码处理

    Nginx的 HTTP 499 状态码处理

  • css3奇偶选择器[通俗易懂]

    css3奇偶选择器[通俗易懂]数学里面的奇数偶数,上代码trtd:nth-of-type(odd){margin-left:20px;}奇数行trtd:nth-of-type(even){margin-left:10px;}偶数行

  • 风控模型评估方法以及大数据风控模型概念

    风控模型评估方法以及大数据风控模型概念更新一下有效性指标中的区分能力指标:KS(Kolmogorov-Smirnov):KS用于模型风险区分能力进行评估,指标衡量的是好坏样本累计分部之间的差值。好坏样本累计差异越大,KS指标越大,那么模型的风险区分能力越强。KS的计算步骤如下:1.计算每个评分区间的好坏账户数。2.计算每个评分区间的累计好账户数占总好账户数比率(good%)和累计坏账户数占总坏账户数比率(bad%

  • 原生ajax请求的五个步骤

    原生ajax请求的五个步骤什么是ajax?通过在后台与服务器进行少量数据交换,Ajax可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。ajax的优点:1.实现局部更新(无刷新状态下)2.减轻了服务器端的压力ajax的缺点:1.破坏了浏览器前进和后退机制(因为ajax自动更新机制)2.一个Ajax请求多了,也会出现页面加载慢的情况。3.搜索引擎的支持程度比较低。4.ajax的安全性问题不太好(可以用数据加密解决)。注:如果要使用ajax必须要有后端环境的支持(服务器端)。

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号