RFID安全之某学校水卡破解

RFID安全之某学校水卡破解•Date:November17,2013I•Category:RFID,极客本文只作技术研究之用，请勿用于非法用途，否则后果自负。如今网络上能找到RFID安全类的信息非常的少，原因我就不说了，大家也明白。大家如果要研究RFID安全可以去RadioWar或者Freebuf多看看相关的文章，我在后面也会放出一些相关的资料供大家下载研究，资料大多数是外语资料，所以说外语一定要学好！用NFC手机上安装的MCT(MifareClassicTool)查看，水卡的确是MifareClassic1k类型的。次。令all'20%TagInfoGenericInfoUID:IIAte)RFTechnology:ISO/IEC14443,TypeAATQA:0004SAK:08ATS:TagTypeandManufacturer:MIFAREClassicIk,NXP(TagTypeandManufacturer1mightbewrong.See'HelpandInfo'formoreinformation.)MifareClassicInfoMemorySize:1024byte此次破解用到的工具有：电脑一台，ACR122U-A9港版一台，带NFC功能的手机一台，水卡一张。在进行破解工作之前，我们要为电脑搭建相应的环境，大家需要在电脑上安装.NETFarmwork4以及12丫2，请自行上网下载安装，后面用到的软件依赖这两个运行库。安装完运行库之后就需要安装ACR122U的驱动了（驱动下载（百度云），SDK下载（百度云）），为了方便后续的开发，我将SDK也一并安装。・ACR122光盘文件崖）编辑幻查看也收藏®工具⑴帮助国）「」,4授索姬至3>09；鱼地址也）1，□C'VDdcwenlsandS<ttings\AdminiEtratorXM®\ACR122^lt2DriverXns^«ll«r/UserManualswd/ReferenceMaterialsm£cuk-H7InstallGuide-SBK..HIMDriverXns^«ll«r/UserManualswd/ReferenceMaterialsm£cuk-H7InstallGuide-SBK..HIM文件12KBautorun.inf安装信息IKBl—UStA>pl«C«d«sX'gettrngstart.誉法HTM文部I16KB描述：ACR122VSDKInstaller公司：AJvancedCardSystemsLimited文伴版本：创建日期：2013-11-1820120大<.hk安装完驱动和SDK之后，把ACR122U连接电脑，设备就能正常工作了。把我们的水卡放上去，ACR122U的蜂鸣器就会响并且LED的颜色也会改变。在此之前我已经尝试过用MCT自带的常见的密钥去访问水卡，发现有部分扇区使用的不是默认密钥，被加密了，对于这种不是所有扇区加密的卡，我们可以采用验证漏洞把其他扇区密码破解出来。A朗。得.川@11:DumpEditor(.日＜Sector:0Nokeysfound(ordeadsector)Sector:1Nokeysfound(ordeadsector)Sector:2Nokeysfound(ordeadsector)Sector:3Nokeysfound(ordeadsector)Sector:4Nokeysfound(ordeadsector)Sector:5Nokeysfound(ordeadsector)Sector:6Nokeysfound(ordeadsector)Sector:7Nokeysfound(ordeadsector)Sector:8000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FFFFFFFFFFFFFF078069FFFFFFFFFFFFSector:9验证漏洞可利用的程序是mfoc,mfoc在Windows上的版本叫mfocgui,但mfocgui对于刚刚接触RFID安全的同学来说有点麻烦，所以这次直接采用（其实就是简化版的mfocgui）（内容涉及违法，已经按相关部门的规定撤下）。打开之后，程序界面非常简洁，只有一个按钮，就是开始破解。在读卡器列表那我已经见到我的ACR122U了，所以直接按开始破解就可以。然后接下来就等待程序自己破解密钥。不用很久，就看到所有扇区都被打勾了，破解成功了。破解成功后根目录就生成了这张卡的dump文件了，大小是ikb,整张卡就被读取出来了。W：=Lf文件。编辑⑥查看9收藏闻工具①帮助国）Q后退，二便搜索文件夹 X"91区"服暑肥件川才，地址⑪|心工：卜3服暑肥件川才，SO联20_..,忸羯爨但mfoc原本是运行在Linux环境下的，移植到Windows下的mfocgui生成的dump文件是并不能直接使用的，还需要一个修复工具fixdump（下载fixdump）,将ikb的dump文件修复成4kb的dump文件才行。fixdump是命令行操作，并且必须安装了.NETFarmwork4运行库才可以使用，为了方便命令操作，我们将dump文件拷贝到fixdump的目录里，打开cmd进行修复。命令很简单，直接fixdu叩file.dump就可以，生成的文件会直接覆盖源文件。

修复完成后，用UltraEdit或者WinHex之类的十六进制编辑器打开，就可以看到修复完成后，用UltraEdit或者WinHex之类的十六进制编辑器打开，就可以看到dump文件的数据了。51x1忒G：\lIHII0YfS\5y5t?n3Z\C[n(i.exeMitiDsoFtUSdoxMXP1版本5.1-2G003kc)靛权所有1985-3001Mie^agaFteCorp.iE：\£ixifixdump122.dump修复础:123.du»p甲UltraEdit-[EA£i^\L23.Jump]列⑪宏姬脚本/高奥®窗口⑷帮助d文件的编耦始捷素㈤插入W项目口视图的格式隹）LMJiJs列⑪宏姬脚本/高奥®窗口⑷帮助3：E:\Fix\L23.dump3日0曰国易/国.由；S;H:EI:E1:S项目打开U.X aaaaaoioh：oo oo go oo od oa aa oa ao 口口 oo 00 00 00 do aaaaaoaosoh!oo gd 00 00 oa oo □□ oo 口口 oo 00 00 go 00 00 00□oaooosoh：Iff ff ff ff ff ff ff q7 90 eg ff ff ff ff ff ff加E:F:G:IiFTP悴号□aaaoo4oti：□□□□□05011：□□□□□060h:□□□□□070h:□□□□□080h;□□□□□090h:□□□□□OaOht□□□□□ObOhi□□□□□0c0h:□□□□□□dOhi□aaaaoeoht一可口也加飞行山口日0口d口d口□口口口□□口力FiViWJF50000□oqgsoonaa□□OGQGOQUQao00□000□0□□000000□0oaoqgoaaan

oagogo口口aa□20000356195?208CFB2CECSCODESCFB0002SC00AO02E7839003OCQ314 □?0000OGG2FC00JLO02E6839002OCGB142i07□□t30on□goa口口aoqgsooooaaooaoodo00口口000000aa□0□□0a00□0ao00口口OD□o□o0D口口QOGO00g□□OG000003□QGG00DO。口输出窗口无输出，按F1获取帮助穆旗列裴看到上图我用方框框着的数据了吗？这就是卡扇区的控制段，其中前6字节和后6字节的FFFFFFFFFFFF就是这个扇区的密码，中间的FF078069就是控制位，还不清楚Ml卡的结构的可以去看看这篇介绍M1卡结构文章。知道密码之后，我将密码导入MCT中，开始读取卡片的数据了。紧接着就可以开始改写，具体可以看一下S50卡的官方文档。ContentHid