进监狱全攻略之 Mifare1 Card 破解

简介:

补充新闻:程序员黑餐馆系统 给自己饭卡里充钱 ,技术是双刃剑,小心,小心!

前言

从M1卡的验证漏洞被发现到现今,破解设备层出不穷,所以快速傻瓜式一键破解不是本文的重点,年轻司机将从本文中获得如下技能。

  • 如果你想简单快速的上手,你可以选择ACR122-like,Proxmark3等容易购买到的操作简单的设备,或者有个带有NFC功能并安装有安卓Mifare Classic Tool (MCT)软件的手机也是个不错的选择。
  • 本文基于树莓派加RC522,PN532模块试验,如果你是刚入门的Geek爱好者不妨读读本文,我将简明地叙述SPI接口协议和部分RC522驱动代码。
  • 本文破解皆指针对Mifare Classic卡获得KeyA,KeyB,实现扇区数据读取。
  • 本文旨在抛砖引玉,才疏学浅,如有错误还请不吝赐教。

M1卡结构

Mifare是NXP公司生产的一系列遵守ISO14443A标准的射频卡,包括Mifare S50、Mifare S70、Mifare UltraLight、Mifare Pro、Mifare Desfire等。Mifare S50的容量为1K字节,常被称为Mifare Standard,又被叫做Mifare 1,是遵守ISO14443A标准的卡片中应用最为广泛、影响力最大的的一员。S50的卡类型(ATQA)是0004H。

在带有NFC功能的手机上使用MCT读取空白卡Mifare Classic 1k(S50),我们可以直观地看到卡片的存储结构。

M1卡有从0到15共16个扇区(Sectors),并且每个扇区都有独立的密码,每个扇区配备了从0到3共4个块(Block),16个扇区的64个块按绝对地址编号为0~63,每个块可以保存16字节byte的内容,共有16X4X16=1024byte。

每个扇区的第4段用来保存KeyA,KeyB和控制位(ACs控制读写权限)。

0扇区0块是特殊的数据块,用于存放制造商代码,包括芯片序列号,此块只读。

SPI接口

SPI串行外设接口(Serial Peripheral Interface)是一种高速的,全双工,同步的通信总线,SPI通信以主(master)从(slave)方式,这种模式通常有一个主设备和一个或多个从设备,需要至少4根线,事实上3根也可以(单向传输时)。也是所有基于SPI的设备共有的,它们是SDI(数据输入MISO)、SDO(数据输出MOSI)、SCLK(时钟SCK)、CS(SS片选)。

CS是控制芯片是否被选中的,也就是说只有片选信号为预先规定的使能信号时(高电位或低电位),对此芯片的操作才有效。

通讯是通过两个双向移位寄存器进行数据交换。SPI是串行通讯协议,数据是一位一位传输的(总是先发送或接收高字节MSB数据)。SCLK提供时钟脉冲,在通过 SDO线输出时,数据在时钟上升沿或下降沿时改变,在紧接着的下降沿或上升沿被读取,完成一位bit数据传输。因此,至少需要8次时钟信号的改变才能完成8位数据1byte的传输。

SPI协议是一种如何传输数据的方式,在集成了SPI硬件控制器的树莓派中我们不需要会复杂的软件模拟SPI,我们只要会使用相关库bcm2835发送和接收数据就行了。就像是流水线上的履带运输机,我们要做的只是把货物放在上面(而不是还要想办法怎么搭建运输机),当然我们还得知道怎么放,下面我们学习RC522模块的控制。

MFRC522

几个重要特性

  • 支持ISO 14443A/MIFARE
  • 64字节的发送和接收FIFO缓冲区
  • 3V电源电压
  • 支持SPI,I2C,UART接口

如何与M1卡通信?

  • Request standard/all。在上电复位Power-On Reset(POR)后,M1卡发送ATQA码(卡片类型码,如00 04h 代表MF1S503yX)回应REQA请求或者唤醒WUPA命令。
  • 防冲突机制。如果读卡器感应区存在多张卡,他们需要以自己的标识符(发送4字节的SN和1字节校验)来区分并且只有被选中的一张卡才能进行下一步操作。
  • 选卡。读卡器使用选卡命令选择一张卡作为验证和存储相关操作,卡片返回选择应答SAK码(卡片容量)。
  • 3次互相验证。在选卡之后,读卡器指定存储地址,使用相应的密码完成3次互相验证步骤。验证通过之后所有的存储操作都是加密的。
  • 存储器操作。

读(Read):读数据块
写(Write):写数据块
减值(Decrement):减少数据块内的数值,并将结果保存在临时内部数据寄存器中
加值(Increment):增加数据块内的数值,并将结果保存在数据寄存器中
转存(Restore):将临时内部数据寄存器的内容写入数值块
暂停(Halt ):将卡置于暂停上作状态

几个重要的寄存器

FIF0DataReg,FIFO缓冲区的输入和输出数据总线连接到FIFODataReg寄存器,通过写FIFODataReg寄存器来讲一个字节的数据存入FIFO缓冲区,之后内部FIFO缓冲区写指针加1。

主要的状态指示寄存器包括ComIrqReg、Er-rorReg、Status2Reg和FIFOLevelReg等。

(更多详细内容请查看芯片手册,这也是必须的)

(通信流程)
读写操作
写卡分两步骤
Step A:查询块状态。
命令码(0xA0) 块地址
若块准备好,则MIFARE卡返回4比特应答。若值为1010,则可进行下一步操作;若值非1010,则表示块未准备好,必须等待直至块准备好为止。
Step B:写数据。
数据字节(16字节) CRC(2字节)
若写入成功,则MIFARE卡返回4比特应答,值仍为1010;若非lOl0,则表示写入失败。
读卡
指令格式
命令码(0x30) 块地址
若执行成功,则MIFARE卡返回18字节应答比特。需要注意的是,其中只有16字节是读取的块数据,另外2个字节为填充字节。若字节数不为18,则可判断读卡操作错误。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
* 函 数 名:write
  * 功能描述:写块数据
  * 输入参数:blockAddr--块地址;writeData--向块写16字节数据
unsigned  char  write(unsigned  char  blockAddr, unsigned  char  *writeData)
{
   unsigned  char  status;
   unsigned  int  recvBits;
   unsigned  char  i;
   unsigned  char  buff[18];
  
   buff[0] = PICC_WRITE;
   buff[1] = blockAddr; //块地址0-63
   calculateCRC(buff, 2, &buff[2]);
//发送指令
   status = MFRC522ToCard(PCD_TRANSCEIVE, buff, 4, buff, &recvBits);
  
//这里判断返回状态
   if  ((status != MI_OK) || (recvBits != 4) || ((buff[0] & 0x0F) != 0x0A))
     status = MI_ERR;
   //准备16byte数据
   if  (status == MI_OK){
     for  (i=0; i<16; i++)     //?FIFO?16Byte?? Datos a la FIFO 16Byte escribir
       buff[i] = *(writeData+i);
     //计算校验位
calculateCRC(buff, 16, &buff[16]);
//发送数据
     status = MFRC522ToCard(PCD_TRANSCEIVE, buff, 18, buff, &recvBits);
     if  ((status != MI_OK) || (recvBits != 4) || ((buff[0] & 0x0F) != 0x0A))
       status = MI_ERR;
   }
   return  status;
}

感觉怎么说都有种说不清的感觉,多花点时间对着库文件和MFRC522 Datasheet强撸吧骚年!

如果上面说的太复杂,下面就请拿上你的树莓派和RC522模块开始我们愉快简单的动手吧。

步骤

  • 安装bcm2835库,开启树莓派SPI接口并测试是否可用
  • 树莓派与RC522连线
  • 根据库文件和通信流程编写程序
  • 测试

安装bcm2835库

bcm2835
树莓派上博通bcm2835芯片 C语言库
This is a C library for Raspberry Pi (RPi). It provides access to GPIO and other IO functions on the Broadcom BCM 2835 chip, allowing access to the GPIO pins on the 26 pin IDE plug on the RPi board so you can control and interface with various external devices.

1
2
3
4
5
6
7
8
9
10
安装
# 下载最新版库文件, 类似bcm2835-1.xx.tar.gz, 然后:
tar zxvf bcm2835-1.xx.tar.gz
cd bcm2835-1.xx
./configure
make
sudo make check
sudo make install
  
Raspberry Pi 2 (RPI2)

在树莓派上启用SPI接口(新版系统不用修改黑名单之类的配置文件)

1
2
3
sudo raspi-config
 
under Advanced Options – A5 SPI

Reboot.

显示已载入系统的模块

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
root@pi2:~# lsmod
Module                Size Used  by
joydev                 9194 0
evdev                 11650 2
cfg80211             499234 0
rfkill                 21397 2 cfg80211
8192cu               555405 0
snd_bcm2835           23163 0
snd_pcm               95441 1 snd_bcm2835
snd_timer             22396 1 snd_pcm
snd                   68368 3 snd_bcm2835,snd_timer,snd_pcm
spi_bcm2835             8032 0  //表示开启
i2c_bcm2708             5740 0
bcm2835_gpiomem         3823 0
bcm2835_wdt             4133 0
uio_pdrv_genirq         3718 0
uio                   10230 1 uio_pdrv_genirq
i2c_dev                 6578 0
ipv6                  367607 24

查看SPI设备(这里出现spidev0.0设备表示SPI已开启)

1
2
3
4
5
6
7
8
9
10
11
root@pi2:~# ls /dev/sp*
 
/dev/spidev0.0 /dev/spidev0.1
 
The Raspberry Pi GPIO pins used  for  SPI are:
 
     P1-19 (MOSI)
     P1-21 (MISO)
     P1-23 (CLK)
     P1-24 (CE0)
     P1-26 (CE1)

测试SPI接口
http://www.airspayce.com/mikem/bcm2835/spi_8c-example.html
将MISO和MOSI连接,运行程序你将接收到发送的数据。

spi.c

Shows how to use SPI interface to transfer a byte to and from an SPI device

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
// spi.c
//
// Example program for bcm2835 library
// Shows how to interface with SPI to transfer a byte to and from an SPI device
//
// After installing bcm2835, you can build this
// with something like:
// gcc -o spi spi.c -l bcm2835
// sudo ./spi
//
// Or you can test it before installing with:
// gcc -o spi -I ../../src ../../src/bcm2835.c spi.c
// sudo ./spi
//
// Author: Mike McCauley
// Copyright (C) 2012 Mike McCauley
// $Id: RF22.h,v 1.21 2012/05/30 01:51:25 mikem Exp $
#include <bcm2835.h>
#include <stdio.h>
int  main( int  argc,  char  **argv)
{
// If you call this, it will not actually access the GPIO
// Use for testing
// bcm2835_set_debug(1);
if  (!bcm2835_init())
{
printf( "bcm2835_init failed. Are you running as root??\n" );
return  1;
}
if  (!bcm2835_spi_begin())
{
printf( "bcm2835_spi_begin failedg. Are you running as root??\n" );
return  1;
}
bcm2835_spi_setBitOrder(BCM2835_SPI_BIT_ORDER_MSBFIRST);  // The default
bcm2835_spi_setDataMode(BCM2835_SPI_MODE0);  // The default
bcm2835_spi_setClockDivider(BCM2835_SPI_CLOCK_DIVIDER_65536);  // The default
bcm2835_spi_chipSelect(BCM2835_SPI_CS0);  // The default
bcm2835_spi_setChipSelectPolarity(BCM2835_SPI_CS0, LOW);  // the default
// Send a byte to the slave and simultaneously read a byte back from the slave
// If you tie MISO to MOSI, you should read back what was sent
uint8_t send_data = 0x23;
uint8_t read_data = bcm2835_spi_transfer(send_data);
printf( "Sent to SPI: 0x%02X. Read back from SPI: 0x%02X.\n" , send_data, read_data);
if  (send_data != read_data)
printf( "Do you have the loopback from MOSI to MISO connected?\n" );
bcm2835_spi_end();
bcm2835_close();
return  0;
}

代码测试
树莓派连线RC522

Pins

1
2
3
4
5
6
7
8
9
Name    Pin #   Pin name
SDA 24  GPIO8
SCK 23  GPIO11
MOSI    19  GPIO10
MISO    21  GPIO9
IRQ None    None
GND Any Any Ground
RST 22  GPIO25
3.3V    1   3V3

附PI2 GPIO图

使用树莓派RC522 C语言库,库和示例程序下载地址

读写卡片流程

findCard 寻卡 -> anticoll 放冲突检测 -> selectTag 选卡 -> auth 验证密码 -> read/write 读写

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
#include "mfrc522.c"
 
#include <stdio.h>
 
#include <string.h>
 
int  main(){
 
int  i,count;
 
unsigned  char  s;
 
unsigned  char  id[10];
 
unsigned  char  key[] = {0xFF,0xFF,0xFF,0xFF,0xFF,0xFF};
 
unsigned  char  uid[5];  //4字节卡序列号,第5字节为校验字节
 
unsigned  char  str[MAX_LEN];
 
unsigned  char  wData[16] = { 'h' , 'a' , 'c' , 'k' , 'e' , 'd' , ' ' , 'b' , 'y' , ' ' , 'r' , 'u' , 'o' };
 
int  isTrue = 1;
 
if  (!bcm2835_init())  return  -1;
 
init();
 
while (isTrue){
 
if  (findCard(0x52,&s) == MI_OK){
 
if  ( anticoll(id) == MI_OK){
 
memcpy(uid,id,5);
 
printf( "CARD UID:" );
 
for (i = 0;i < 5;i++)
 
printf( "%x" ,uid[i]);
 
printf( "\n" );
 
} else  {
 
printf( "FindCard ERR.\n" );
 
}
 
//select Card
 
selectTag(uid);
 
 
//auth
 
if (auth(0x60,4,key,uid) == MI_OK){
 
//write data
 
if (write(4,wData) == MI_OK){
 
printf( "Write data success!\n" );
 
//isTrue = false;
 
}
 
 
//read data
 
if (read(4,str) == MI_OK){
 
printf( "Hex:" );
 
for (i = 0;i < 16;i++)
 
printf( "%x" ,str[i]);
 
printf( "\n" );
 
printf( "Data:%s\n" ,str);
 
}
 
} else {
 
printf( "Auth faild.\n" );
 
}
 
}
 
halt();
 
}
 
bcm2835_spi_end();
 
bcm2835_close();
 
return  0;

其他库
MFRC522-python
一个在树莓派上使用MFRC522接口的的类。
https://github.com/mxgxw/MFRC522-python
上面讲了很多没用的细节,如果你想急于求破,你应该先看这章。
使用PN532 NFC模块

 

Near field communication (NFC) is a set of standards for smart phones and similar devices to establish radio communication with each other by touching them together or bringing them into close proximity, usually no more than a few centimeters.

Feature

  • Small dimension and easy to embed into your project
  • Support I2C, SPI and HSU (High Speed UART), easy to change between those modes
  • Support RFID reading and writing, P2P communication with peers, NFC with Android phone
  • RFID reader/writer supports:
  1. Mifare 1k, 4k, Ultralight, and DesFire cards
  2. ISO/IEC 14443-4 cards such as CD97BX, CD light, Desfire, P5CN072 (SMX)
  3. Innovision Jewel cards such as IRT5001 card
  4. FeliCa cards such as RCS_860 and RCS_854
  • Up to 5cm~7cm reading distance
  • On-board level shifter, Standard 5V TTL for I2C and UART, 3.3V TTL SPI
  • Arduino compatible, plug in and play with our shield

 

这里我们使用I2C接口将树莓派与PN532连接,安装mfoc,mfcuk(Mifare Classic DarkSide Key Recovery Tool)破解软件。

mfoc程序基于nested authentication验证漏洞破解含有默认密码的M1卡的其他KEY。

mfcuk程序基于dackside原理破解全加密卡。

两款软件都基于libnfc库开发,所以我们还需要安装libnfc库。

Libnfc库下载地址

http://nfc-tools.org/index.php?title=Libnfc

Libnfc:configuration(接口配置)

http://nfc-tools.org/index.php?title=Libnfc:configuration

安装文档(使用libnfc-1.7.1.tar.bz2包能成功读取到设备,github上clone的安装找不到设备)

http://www.jamesrobertson.eu/blog/2016/feb/08/using-a-pn532-nfc-rfid-reader-with-the-raspberry-pi.html

安装mfoc,mfcuk

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
https: //github.com/nfc-tools/
 
git clone https: //github.com/nfc-tools/mfoc.git
 
cd mfoc/
 
autoreconf -vis
 
./configure
 
make
 
make install
 
#mfoc -O test.mfd //使用默认key尝试破解
 
#mfoc -f key.txt -O test.mfd //使用key字典

参考资料

http://blog.sina.com.cn/s/blog_9ed067ad0100z47e.html

http://blog.sina.com.cn/s/blog_683b6e4f0102vtfm.html

http://www.cnblogs.com/lubiao/p/4716965.html?ptvd

http://www.fuzzysecurity.com/tutorials/rfid/2.html

http://www.cs.ru.nl/~flaviog/publications/Attack.MIFARE.pdf

http://www.cs.ru.nl/~flaviog/publications/Dismantling.Mifare.pdf

http://www.cs.ru.nl/~flaviog/publications/Pickpocketing.Mifare.pdf

 
本文转自 K1two2 博客园博客,原文链接:http://www.cnblogs.com/k1two2/p/5751589.html   ,如需转载请自行联系原作者
相关文章
|
网络安全 数据安全/隐私保护 网络架构
小米路由器MINI刷Breed并刷写第三方潘多拉固件教程(下)
小米路由器MINI刷Breed并刷写第三方潘多拉固件教程
731 0
(续集)记录2分钟破解知识星球验证弹窗
那我换个思路,反正网站简单,这次直接用替换的方式
1156 0
|
16天前
|
XML 存储 Java
写个破解WIFI程序,以防不时之需(简易版,未成功)
本文介绍了作者尝试通过Java代码连接WLAN的过程,虽然最终未能成功,但仍提供了宝贵的实践经验。作者通过此过程对WLAN连接有了初步了解,并掌握了`java.lang.Process`和`java.lang.Runtime`两个类的使用。文中详细展示了完整的代码示例,包括生成WLAN配置文件、执行命令等步骤。尽管存在一些技术难题,如无法生成关键的`hex`参数,导致连接失败,但作者仍希望通过分享这些经验,帮助读者对WLAN连接有更深入的理解。
97 59
写个破解WIFI程序,以防不时之需(简易版,未成功)
|
2月前
|
监控 安全 数据安全/隐私保护
一个会下载至少3个Viking等恶意程序的网站
一个会下载至少3个Viking等恶意程序的网站
|
5G 网络安全 数据安全/隐私保护
小米路由器MINI刷Breed并刷写第三方潘多拉固件教程(上)
小米路由器MINI刷Breed并刷写第三方潘多拉固件教程
364 0
|
安全 测试技术 Android开发
三分钟创建一个自己的移动黑客平台
本文讲的是三分钟创建一个自己的移动黑客平台,许多朋友都希望黑客平台可以很方便的从PC移植到更便携的手机或平板电脑上,而Offensive Security团队发布的Kali NetHunter则将这一期待变为现实,通过移动终端随时随地进行黑客创意开发。
2752 0