装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。其中前4个字节是卡的UID,第5个字节是卡UID的校验位,6、7字节是卡标识,剩下的是厂商数据。并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。
缘起:
那天回家,到小区门口时我又像往常一样掏出手机轻轻一刷,伴随着门禁机温柔女声“欢迎回家”的提示语下,小区大门缓缓打开;然后我在保安大哥惊讶的目光下,洋洋自得地缓缓步入小区……
让我万万没想到的是,这对我来讲稀松平常的一幕,正好被小区里一位正在溜狗的漂亮小姐姐看到。小姐姐主动和我打招呼,赞美之词溢于言表,并问我是怎么做到的;我脚步不停,斜睨了一眼小姐姐手中提子色的iphone12扬长而去,当我走出老远才甩出一句“so easy!”
……
卡片分类:
- ID卡:全称身份识别卡(Identification Card),低频(频率有125Khz、250 Khz、375 Khz、500 Khz……),是一种不可写入的感应卡,含固定的编号,主要有台湾SYRIS的EM格式,美国HID、TI、MOTOROLA等各类ID卡。
- IC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。多为高频(13.56Mhz),可读写数据、容量大、有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有PHILIPS的Mifare系列卡。
- CPU卡:也称智能卡,卡内的集成电路中带有微处理器CPU、存储单元(包括随机存储器RAM、程序存储器ROM(FLASH)、用户数据存储器EEPROM)以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
PS1:目前使用ID卡的多是一些老旧小区,这种卡手机的NFC是模拟不了的(手机NFC是13.56Mhz);然后现在用IC卡的小区居多,但分两种情况(1、只用IC卡号,行业内俗称“IC当ID用”这种用手机的NFC直接模拟就好;2、会写入数据并加密扇区,这种就要通过一定手段处理);还有一些高端小区开始采用CPU卡,这种手机NFC是复制不了的(公交卡、身份证、银行卡这些都是CPU卡,而且身份证还是国密CPU卡)。
PS2:卡片详解:
ID卡
- ID卡 EM4XX系列,多为EM4100/EM4102卡,常用的固化ID卡,出厂固化ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;
- ID白卡 EM4305或T5577,可用来克隆ID卡,出厂为白卡,内部EEPROM可读可写,修改卡内EEPROM的内容即可修改卡片对外的ID号,达到复制普通ID卡的目的;T5577写入ID号可以变身成为ID卡,写入HID号可以变身HID卡,写入Indala卡号,可以变身Indala卡(目前有T5557、T5567、T5577卡,酒店使用居多)。
- HID卡全称HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;
IC卡
- M1卡 全称Mifare1,是最常见的卡,有S50和S70之分(S50:8Kbit,16个分区;S70:32Kbit,32个分区);出厂固化UID(UID即指卡号,全球唯一),可存储修改数据;常用于学生卡、饭卡、早期公交卡、门禁卡;
- M0卡 全称Mifare UltraLight,相当于M1卡的精简版,容量更小、功能更少,但价格更低,出厂固化UID,可存储修改数据;
IC复制卡:
IC卡的芯片号具有唯一性,但中国人造出了复制卡,芯片号可擦写;复制卡在国外圈子里被称为“中国魔术卡”。
- UID卡 全称Mifare UID Chinese magic card,M1卡的变异版本,使用后门指令(magic指令),可修改UID(UID在block0分区),可以用来完整克隆M1卡的数据;但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出UID卡,因此可以来拒绝UID卡的访问,来达到屏蔽复制卡的功能(即UID防火墙系统);
- CUID卡 为了避开UID防火墙系统,CUID卡应运而生,取消响应后门指令(magic指令),可修改UID,是目前市场上最常用的复制卡;近两年,智能卡系统制造公司,根据CUID卡的特性研发出CUID卡防火墙;
- FUID卡 FUID卡只能写一次UID,写完之后自动固化UID所在分区,就等同M1卡,目前除了滚动码防火墙系统,能应对大多防火墙系统,复制的卡几乎和原卡一模一样;但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
- UFUID卡 集UID卡和FUID卡的优点于一身,使用后门指令,可修改UID,再手动锁卡,变成M1卡。可先反复读写UID,确认数据无误,手动锁卡变成M1,解决了UID卡的UID防火墙屏蔽,也解决FUID的一次性写入容易写错的问题,且价格比FUID卡还便宜;
自从IC卡2009年被德国工程师破解后,梯控行业大厂不屑于研究滚动码,都直接开发CPU卡系统,但价格昂贵,导致很多年都没推广开来;很多小厂近几年一直在开发滚动码系统,导致复制的卡只能有一张可用(现在又出来了GUID卡,据说可以锁死滚动位,屏蔽滚动码系统),但从事复制行业的人又开始研究算法,自制软件,模拟软件发卡,又绕开了滚动码系统。
可谓“道高一尺,魔高一丈”,此消彼长,永不消停。
IC卡还有一种接触式IC卡,这个和T55x7卡一样,一些老酒店和小酒店在用
IC卡数据结构:
M1 S50卡有从0到15共16个扇区,每个扇区配备了从0到3共4个数据段,每个数据段可以保存16字节的内容;每个扇区中的段按照0~3编号,第4个段中包含KEYA(密钥A 6字节)、控制位(4字节)、KEYB(密钥B 6字节),每个扇区可以通过它包含的密钥A或者密钥B单独加密;
每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的第一个扇区(0 扇区)的第一段(0 编号数据段),也称为厂商段。其中前4个字节是卡的UID,第5个字节是卡 UID 的校验位,6、7字节是卡标识,剩下的是厂商数据。
并且这个段在出厂之前就会被设置了写入保护,只能读取不能修改,前面各种能修改UID的卡,UID是没有设置保护的,也就是厂家不按规范生产的卡。除了第0扇区外,其它每个扇区都把段0、段1、段2作为了数据段,用于保存数据。数据段的数据类型可以被区尾的控制位(Access Bits)配置为读/写段(用于譬如无线访问控制)或者值段(用于譬如电子钱包)。值段有固定的存储格式,只能在值段格式的写操作时产生,值段可以进行错误检测和纠正并备份管理,其有效命令包括读、写、加、减、传送、恢复。
非加密IC卡和加密IC卡的区别:非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF;而加密IC卡中,其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF,部分扇区加密的卡称半加密IC卡,所有扇区都加密的卡称全加密IC卡。
一般的读卡器,像手机的NFC,是读不到IC卡的加密数据的,需要用专门的工具,比如CD100、icopy8、PN532、ACR122U、Proxmark3等等;前两个也叫傻瓜机,多见锁匠使用,后边几个大多是从业人员和发烧友在用。
对于IC卡,除了对卡上数据加密,还有滚动码加密、服务器数据验证等技术。因此,对IC卡的解密,更多的是门禁卡、签到卡、车库卡等的讨论,像公交卡、饭卡等涉及到资金问题的,基本都会采用设备联网方式、有服务器定期校验,得先搞定服务器再说,难度高还违法。
手机NFC模拟加密门禁卡
首先,手机NFC能识别到的卡,不管加密没加密,只要能读出数据,就是IC卡(0扇区0块的6、7字节:08 04是IC卡,20是纯CPU卡,28是复合卡(就是CPU IC,复制卡圈子里叫 模拟卡),遇到后两种直接放弃,手机是模拟不了的);加密卡在目前单用手机的NFC是无法解密的。
部分门禁系统只认证IC卡的UID(目前很多可视对讲和部分门禁就在用这种方式,俗称IC当ID;电梯梯控几乎不用这个模式),如果用NFC工具读卡后,发现卡片所有密码都是FFFFFFFFFFFF,这时直接用小米或者华为钱包直接模拟门禁卡就好(只认卡号的卡和有数据但没加密的卡均可这样处理)。
PS:一卡通,顾名思义:一张卡负责整个小区大门门禁、单元可视对讲、电梯梯控,甚至还有电动车充电、停车场等等。所以当遇到加密卡时先不要慌,先用MifareClassicTool(安卓手机软件)读出卡号,然后把卡号定稿UID卡中,最后用手机模拟该UID卡。然后去门禁机刷卡测试,如果可以用,那么恭喜你;如果失败了,请不要气馁,继续往下看。
(MifareClassicTool的大概流程,具体细节请自行问度娘)
复制机常见的有CD300、icopy8、PN532、ACR122U、Proxmark3等等,前两个多用于锁匠,后三个一卡通从业者及发烧友使用比较多。价格方面从低到高依次PN532、ACR122U、Proxmark3,破解能力也如此从低到高(看来是钞能力决定了物能力)。
笔者近期用pm3(Proxmark3的简称)比较多,所以只写这个教程,其他两个自行问度娘。
先上家靓照:
Proxmark,确切来说是prox(接近的),mark(标签),翻译过来的意思就是“不用接触、靠近就能刷的卡片”。现在有把一些IC卡也叫NFC标签的。
PM3最先是由外国一大学生为了毕业设计,开发的一个开源硬件,用于破解一些智能卡,IC、ID都能读写。然后开始有团队开发固件和软件,设计改版硬件,维护PM3项目。
现在国内常见的硬件,主要有rdv系列的3个版本,easy、rdv2和rdv4。其实easy也属于rdv系列,全称应该是rdv easy,最常见,最便宜。rdv2贵一点,rdv4更贵,国内应该很难买(rdv4是能够读写CPU卡和接触卡的,当初出来时团队公开声明不在国内销售)。
纵观淘宝上,每个商家都说自己是正版;其实都是抄版,PM3项目是直接在github上开源的,包括电路图。目前淘宝商家说的4.0、5.0,甚至6.0,都是从pm3 easy版本变异来的,要么和变色龙(嗅探器)整合,要么加了电池或者液晶屏,实质功能没有什么改进,一切都是噱头。
上两张变异版照片:
言归正传,下边开始讲解操作步骤:
先将PM3通过数据线和电脑连接起来,然后打开PM3软件(或者使用命令);最后把加密的门禁卡放在PM3的感应区。
点击下图中的“一键自动解析”,然后等待破解完成(PM3的工作原理:就是利用IC卡的漏洞,一次次进行密码测试,直至破解开。因硬件来自开源社区,优化并不好,如果没有解开就多试几次,遇到死机就重新插拔设备并重启软件)。
破解开后根据提示读出卡片数据,并保存数据,切记是.dump格式。然后复制卡号(0扇区0块的前4字节);放上UID卡并读取,待读取完毕把卡号替换成复制的卡号。
将修改卡号后的UID卡放到手机NFC感应区,打开华为钱包—智卡—模拟实体门禁卡,等待生成。
等生成完毕,选择卡面并写入卡片名称,就如右上图所示了。
稍等,至此还没有完成,剩最最最后一步,也是最最最关键的一步。继续往下走着。
将手机放在PM3的感应区,并调出该卡片;把刚刚破解并保存的文件载入PM3软件右侧。
等待写入写成。至此手机模拟加密门禁卡就完成了。赶紧去门禁机上刷卡试试吧,“惊呆保安,迎娶白富美,从此你将走上发家致富大道”。
PS:如果嫌以上太麻烦,而你又和物业发卡员熟悉,那你直接在钱包里生成空白门禁卡,然后让发卡员给你直接授权就好了。
再PS:苹果手机的pay是不对外开放的,只能添加部分银行卡和交通卡,这时候怎么办呢?先在苹果pay中开启一张交通卡,然后去物业授权(前提是门禁只读卡号,就是IC当ID用模式,加密卡对于苹果手机无解)(明白开始时我看了眼小姐姐手里的提子色iphone12,不为所动扬长而去的原因了吧?)
再再PS:手环和智能手表同理,一样的操作,只是载体不同罢了。
(部分图片来自网络,如有侵权,立马删除。本文只是测试,禁止用作商业用途。)
(如果需要工具,请私信我。)
-- -- -- -- -- -- -- -- -- -- -- END -- -- -- -- -- -- -- -- -- -- --
我是小白,智能家居爱好者、一卡通行业从业者、曾经的建筑智能化从业者。
