M1卡说明及使用proxmark3破解方法
看了网上写的一些关于M1卡的文章,多数有些误导之嫌。首先谈谈M1卡的规格,M1卡的容量为1KB,好多网上写8KB,这里其实是有个误区,应该是8K位。1Byte=1B=8位。其实也就是说8k位想到于1KB的容量,也就是说一个4GB的U盘的存储空间约等于四百万张m1卡的空间。
虽然空间比较小,但是里面其实学问很大,我们来看一下M1卡的内部结构。M1卡分为16个数据存储区,通常我们称为“扇区”,编号是“0”到“15”。每个扇区又分为4个存储单元,我们称为“块”,在M1卡中数据存储的最小单位就是“块”。每一块有16字节(16B),用来存放数据。
就像下图所示:
其中每个data为一个“块”。这样我们可以计算一下:16b* 4(块)*16(扇区)=1024B 就是1K。
第0扇区的块0(即绝对地址0块),它用于存放厂商代码,已经固化,不可更改。
在全扇区加密时,通常用前三个“块”(0,1,2号块)存放数据,用最后一个”块“(3号块)存放密码。
其中密码分为A密码和B密码:前6个字节存放A密码,中间4字节为控制字段,后6字节存放B密码。
例如:
A0 A1 A2 A3 A4 A5 FF 07 80 69 B0 B1 B2 B3 B4 B5
注意这里每个扇区的密码都是独立的,也就是说可以为16个扇区设置16个不同的密码,当然也可以使用相同的密码,但是这样会大大降低破解的难度。例如上图中的该扇区A密码为空:000000000000,B密码为:FFFFFFFFFFFF。
对于控制位这里有点门路,我找了很多网上的文章,其中发现这篇讲解得最好:http://www.duoluodeyu.com/2013/835.html
但是注意其中的 字节7是C1Y,而不要把字节6、7、8一次当成了C1Y C2Y C2Y。注意到这一点对于理解就没什么难度了。
每个M1卡都有一个唯一的序列号,我们称为“UID”,是32位的,也就是4个字节。
M1卡是典型的高频卡,工作频率为13.56MHz,一般调频(FM)收音机接收的广播频率在87MHz到108MHz之间。猜想:如果高频卡工作频率达到80MHz以上时在读卡或写卡时产生的频率应该能对该频段收音机产生电磁干扰。
通信速率:106KBPS,也就是说可以在10毫秒的时间内完成读写内容。
工作半径:100mm。大约在100mm以内的距离,可以使用读卡器对m1卡进行操作(一般写距离要小于读距离)。
在使用proxmark3对M1卡进行破解时 ,我们可以使用hf mf mifare命令去探测基于PRNG的漏洞出现的Key 。
例如:
然后使用hf mf nested 1 0 A FFFFFFFFFFFF 去探测各个扇区的密码,例如:
花费几分钟后,得到如下的key列表:
根据这个key列表,按道理使用hf mf dump就可以直接读取各扇区的数据了,但是这里遇到了点问题,hf mf dump使用默认的密码FFFFFFFFFFFF来读取各扇区数据,而这里只有0扇区密码正确,其他的均无法dump,所以我们需要使用其他办法。
[size=1em]hf mf rdsc 1 a 1866c42fe6a8
来读取第一扇区数据:
同样的用 hf mf rdsc 2 b 1866c42fe6a8
读取第二扇区数据,这里为什么用B密码是有原因的(因为控制位设置的问题 )。
依次读取16个扇区即可。(其实在这张卡中,只有前3个扇区有数据,后面的扇区数据块均为空)
这里我们就获取了全部想要的数据,在最开始接触m1卡的时候由于知识的不足,总感觉可以控制的位置是有限的。
这也就是不要已经拥有了整个世界还觉得不完美。
现在就可以去刷卡,然后把16个扇区的数据做一个对比了,看看哪一位变化了,如何变化了。
M1卡说明及使用proxmark3破解方法相关推荐
- M1卡破解(自从学校升级系统之后,还准备在研究下)
M1卡说明及使用proxmark3破解方法 看了网上写的一些关于M1卡的文章,多数有些误导之嫌.首先谈谈M1卡的规格,M1卡的容量为1KB,好多网上写8KB,这里其实是有个误区,应该是8K位.1Byt ...
- M1卡破解(自从学校升级系统之后,还准备在研究下)【转】
本文转载自: M1卡说明及使用proxmark3破解方法 看了网上写的一些关于M1卡的文章,多数有些误导之嫌.首先谈谈M1卡的规格,M1卡的容量为1KB,好多网上写8KB,这里其实是有个误区,应该是8 ...
- proxmark3 复制 M1 卡和 CUID卡的方法
proxmark内部有个卡模拟内存,emulator memory,过程大概是这样 1,把各个扇区的密码装载进 emulator memory 2,把卡扇区数据读进去 emulator memory ...
- 一卡通(M1卡)破解过程记录——准备篇
前些日子在研究学校的一卡通安全,在此记录一下一卡通破解的全过程,仅用作学习交流,切勿用于违法用途 其他几篇: 一卡通(M1卡)破解过程记录--理论篇 获取扇区密钥 ...
- 一卡通(M1卡)破解过程记录——数据分析(水卡、饭卡及门禁)
前些日子在研究学校的一卡通安全,在此记录一下一卡通破解的全过程,仅用作学习交流,切勿用于违法用途 其他几篇: 一卡通(M1卡)破解过程记录--准备篇 理论篇 ...
- 一卡通(M1卡)破解过程记录——理论篇
前些日子在研究学校的一卡通安全,在此记录一下一卡通破解的全过程,仅用作学习交流,切勿用于违法用途 其他几篇: 一卡通(M1卡)破解过程记录--准备篇 获取扇区密钥 ...
- M1卡破解(智能卡攻防技术分层、分级研究探讨)
本来是当任务来完成的一篇论文,原计划有些宏伟,迫于时间太紧根本无法完成它,就草草成了现在这个样子交差了.交出去如石沉大海,了无消息.干脆发到这里也不辜负我加班写作的辛苦了. 许多材料来不及验证,可能有 ...
- 破解 M1卡(洗澡卡、开水卡,健身卡,饭卡)等
M1卡(洗澡卡.开水卡,健身卡,饭卡)破解历程,学会这个今后还怕没饭吃? 又经过了一个寒假的纠结,终于决定入手了ACR122U,只是到手后机器看上去确实感觉比¥180要廉价,看图就明白了: 0×01密 ...
- 用ARDUNO自制RFID读写器、复旦M1卡初探
1. 为什么要用Arduino 一提到,我们可能会想到ACR122.Proxmark3这些设备,还有Radiowar出售的专业级RFID设备,实际上我们完全可以自己使用arduino单片机和RC522 ...
最新文章
- mysql in 很大 优化_【转】mysql in语句优化
- linux和哪些主机配了互信,linux主机互信
- pip更换源 windows10_Conda及Pip换源处理
- Spring –持久层–编写实体并配置Hibernate
- 腾讯状告前工程师开发游戏抄袭《王者荣耀》,赔偿 1940 万元!
- 自定义Exception异常
- springboot session超时设置_Spring Boot+Spring Security:获取用户信息和session并发控制...
- 怎么把度分秒化成小数_excel中批量将经纬度度分秒转换成十进制小数点的方法介绍...
- JavaScript --------WebS APIs学习之网页特效(offset系列)
- LeetCode 520. Detect Capital
- MSDOS兼容硬盘分区限制
- 【毕业设计】基于树莓派的指纹识别与RFID考勤系统 - 嵌入式 单片机 物联网
- win7浏览器主页修改不过来_Win7 IE无法修改默认主页怎么办?解决IE浏览器主页无法修改主页...
- python pppoe拨号_Python实现PPPOE攻击工具
- 防火墙一个系统加固的例子
- 模型推理时显存不足问题
- 存储过程中is的含义
- 西门子博途软件安装及使用
- 那些年啊,那些事——一个程序员的奋斗史 ——14
- 写给30岁以下年轻人的话,人生的感悟,不是鸡汤,愿你们的人生少走弯路。
热门文章
- 浪潮云海OS C位出道,融合开放基础设施呼之欲出
- 辽工大计算机网络实验报告,辽工大计算机硬件实验报告.doc
- 字典添加数据_【Python基础学习】4. 数据类型之字典及其操作
- python代码编辑器、最好_这十大文本/代码编辑器最好用
- class react 获取_「前端进阶」React系列九 - 受控非受控组件
- python语法与java语法的区别_Python语言与java语法的异同之处
- linux下Led的设备驱动程序实验总结,Linux让LED灯闪起来
- html 点击隐藏特效代码,vueJS简单的点击显示与隐藏的效果(实现代码)
- android定时任务源码,Android 定时任务之Service + AlarmManger + BroadcastReceiver
- 重启apache下php,linux下apache重启并查看php环境