破解mifare Classic(M1)非接触式射频IC卡--Mifare crack Hack 笔记二
光说不练假把式,昨天一咬牙一跺脚入手了一块PN532开发板,看了几天的PN532C106 Application Note、User Manual,感觉这个芯片还行。关键是只有这个芯片的开发板比较便宜……穷啊,ACR122u都买不起,更别说神奇Proxmark3了,玩硬件就是砸钱啊
说说这两天的收获。一开始看PN532支持卡模拟方式,把我乐的不行,又能当读卡器又能模拟卡,太实惠了,后来看手册才发现,单独的PN532只支持模拟标准的ISO 14443-4协议的卡,Mifare Classic(M1)是自己实现的私有协议,最高兼容到14443-3还是部分兼容。不过既然M1已经破解了,等板子到手后可以研究一下能不能自己写代码模拟一个M1卡,目前还是抱有一丝希望的。
破解M1卡,如果有一张可以改UID的 特种卡 那真是利器了,不过淘宝卖的太贵了100一张,是普通卡价格的100倍~!太坑爹了。于是我开始考虑可不可以把一张普通M1卡改造成特种卡。通过看资料得知M1的UID如同普通资料一样放在了0区,只是这个区的控制块权限改成了不能写(即使知道密码A、B也不能写),而且0区还存有制造商数据。单独为0区改电路是很麻烦的,由此推测,硬件上所有区应该都是相同的逻辑,只是在 M1卡芯片封装 前直接操作EEROM将UID和制造商、控制块权限数据写入使0区变为只读。 一知半解害死人,0块的只读应该不是控制块控制的,事情没那么简单,还是用PN532模拟靠点谱,最大的问题是timing(时序?) 看了网上一些帖子询问误操作控制块导致某个区锁死(变成跟0区一样只读)的解决办法,回答都是换新卡,也就是无解。所以,如果能找到一种绕过控制块权限的办法重写控制块便有可能将一张普通卡改造成特种卡,而且再也不用担心误操作锁死,可以随心所欲的写卡了。
不过,是否能找到这种方法呢?机会应该是十分渺茫的,这可真算得上Hardware Hacking了。溢出一个芯片?呵呵,听着都像神话,如何可以绕过控制块权限那连密码验证都绕过了,控制块应该是核心技术了难度可想而知,不过我们可以降低一下难度。非全加密的M1卡可以通过mfoc迅速解出所有扇区密码,应用的原理应该是Wirelessly Pickpocketing a Mifare Classic Card里的嵌套认证攻击,通过已知密码获得其他扇区密码的其中32位(密码一共6字节48位),穷举剩余16位,基本秒杀。略看了mfoc的源码,包含了很多m1白卡的默认密码 FFFFFFFFFFFF、A0B0C0D0E0F0等等,应该是利用这些扇区的密码充当一直扇区密码来破解的。全加密卡可以用mfcuk(注意不是mfuck,第一次看到这个程序时记成mfuck了,于是后来Google的时候怎么都找不到这个程序了,我还以为这么快就被和谐了呢
)先破解出一个扇区的密码再用mfoc加速破解其他密码,原理也是猜的,应该是Wirelessly Pickpocketing a Mifare Classic Card里的Varying the reader nonce方法,这个方法应该是时间、空间效率最高的而且对设备要求不高。
于是我的目标成了在已知A、B密码的情况下绕过控制块权限改写控制块内容
破解mifare Classic(M1)非接触式射频IC卡--Mifare crack Hack 笔记二相关推荐
- 破解mifare Classic(M1)非接触式射频IC卡--Mifare crack Hack 笔记一
最近对NFC有点感兴趣,找资料时发现mifare Classic的卡已经被破解了(包括s50.s70),从网上下了Mifare crack Hack开始啃,一个LFSR(线性反馈位移寄存器)就把我弄晕 ...
- 非接触式射频读卡器 M1读卡,支持USB,ISO14443A/B,可读二代证ID
1.概述 LDM-A3非接读卡器(后续简称LDM-A3)是一款符合低功耗.免驱的符合全速USB2.0的HID兼容协议的自主知识产权的非接读卡设备.提供Windows下的通信动态库,可供PC编程人员二次 ...
- 【IoT】NFC 之 M1 非接触式 IC 卡性能浅析(S50)
1.主要性能指标 容量为 8K BIT EEPROM(1K Byte) 分为 16 个扇区,每个扇区为 4 块,每块 16 个字节,以块为存取单位 每个扇区有独立的一组密码及访问控制 每张卡有唯一序列 ...
- Mifare Ultra Light 非接触式IC卡发卡总结
概述: 1. 容量512bit,分为16个page,每个page占4byte 2. 每个page可以通过编程的方式锁定为只读功能 3. 384位(从page4往后)用户读写区域 4. 唯一7字 ...
- ISO 14443 非接触式射频卡标准学习
一.射频功率和信号接口 1.1.PCD和PICC的初始对话通过下列操作连续进行: -- PCD的RF工作场激活PICC -- PICC静待来自PCD的命令 -- PCD传输命令 -- PICC传输响应 ...
- Mifare Ultra Light 非接触式IC卡
概述: 1. 容量512bit,分为16个page,每个page占4byte 2. 每个page可以通过编程的方式锁定为只读功能 3. 384位(从page4往后)用户读写区域 4. 唯一7字 ...
- 磁条卡,接触式IC卡,非接触式IC卡的优缺点
磁条卡的特点: 磁条卡由于其结构简单,存储容量小,安全保密性差,读写设备复杂且维护费用高,作为七.八十年代技术水平的产品已风光不再,即将面临淘汰. 智能IC卡与磁条卡相比有哪些优势? 接触式IC卡与磁 ...
- 电动车NFC一键启动(仪表总成、电源锁)_Ci522 Ci523_小体积超低成本13.56M非接触式读写器芯片
目录 电动车NFC一键启动 13.56MHz 非接触式读写器芯片--Ci522(A卡,小体积超低成本) [Ci522 芯片详细介绍] 电动车NFC一键启动 NFC智能刷卡解锁,为你解决四处寻找钥匙的困 ...
- CI520 国产13.56MHz非接触式读写器NFC读卡芯片替代CV520低成本替换
Ci520简介 Ci520是高度集成的,工作在 13.56 MHz 的非接触式读写器芯片,阅读器支持 ISO/IEC 14443 A/MIFARE,支持读A卡(CI521支持读A/B卡),可做智能门锁 ...
最新文章
- 三角剖分算法的数学理解
- git放弃本地文件修改
- golang byte 转writer_聊聊golang的zap的WriteSyncer
- 微软职位内部推荐-Software Engineer II-Web app
- 嵌入式实时系统程序开发一:按键程序编写
- text determination debug screenshot
- 正则 null_正则表达式exec、match、test的区别
- linux远程复制文件命令小总结
- vue 多个组件动态加载(动态组件的使用)
- 前奈飞 CTO 两年吃回扣上百万,将面临数十年监禁
- cityhunter2003的上海求职经验- -
- java物流管理系统_基于java的物流管理系统
- 宁西铁路线 宁合线 宁西铁路
- 小程序后端云开发(一)
- 缺少配色灵感,整理超全超赞的配色工具帮你
- 查看或修改mysql数据库及表编码格式
- 第三部分 数据结构 -- 第四章 图论算法-1383:刻录光盘(cdrom)
- ffmpeg 合并视频 添加字幕 bat命令
- Cursor对象详解:
- 计算机求职信英语作文80字,求职信英语作文(共8篇)