常见的几种IC卡应用并记录一次硬破解的过程

jf201006 · 发表于 2023-10-19 16:26:24

爱科技、爱创意、爱折腾、爱极致，我们都是技术控

您需要登录才可以下载或查看，没有账号？立即注册

x

本帖最后由 jf201006 于 2023-10-21 13:40 编辑

本帖内容：
一、IC卡的种类
二、几种IC卡的应用
三、一次IC卡的破解（二楼）

一、IC卡的种类：

1.Mifare S50(简称M1)：高频卡，最常见的卡，除0块外所有区块可重复读写。每张卡独一无二UID号，不可修改，可用于存储修改数据（如电梯卡，消费卡，门禁卡），是国内最常用的卡，也就是我们俗称的IC卡。M1卡是NXP公司研发的IC卡，全称为NXP Mifare1系列，目前大多数手机厂商使用的NFC芯片都是NXP。

此类卡的关键信息如下：

TYPE :NXP MIFARE CLASSIC 1k | Plus 2k SL1 | 1k Ev1

[=]proprietary non iso14443-4 card found, RATS not supported

[=]Answers to magic commands: NO

2.Mifare UID（Chinese magic card）（简称UID 卡）：高频M1卡的变异版本，所有扇区都可重复读写，可使用后门指令修改UID，国外叫做中国魔术卡，可以用来完整克隆M1 S50的数。某宝上有,用来做空白卡,复制体!!

M1 UID卡是国人针对M1 S50卡特制的变种卡，用起来和M1 S50完全一样，只是多了一个功能，就是0扇区块的数据可以随意修改。因此UID号也可以随意修改，厂家信息也可以随意修改，UID卡因此得名。缺点是，新的读卡系统，通过检测卡片对后门指令的回应（防火墙），可以检测出是否为UID卡，因此可以来拒绝UID卡的访问，来达到屏蔽复制卡的功能。

此类卡的关键信息如下：

TYPE :NXP MIFARE CLASSIC 1k | Plus 2k SL1 | 1k Ev1

[=]proprietary non iso14443-4 card found, RATS not supported

[+]Answers to magic commands (GEN 1a): YES

[+]Prng detection: WEAK

3.CUID FUID UFUID （各种神奇的空白卡）：

CUID卡则是针对UID卡做的优化，除0块外所有扇区都可重复读写，不响应后门指令。和UID卡的区别是没有后门，使用常规密码验证的方式即可写0块，其他扇区和标准M1卡相同。缺点是，依然有被检测的可能，同时如果不小心写错了UID号的校验位，导致无法读卡，这时候没法修复卡片，卡片只能报废处理。

FUID卡是针对CUID卡做的优化，除0块外所有扇区都可重复读写，但0块只能写1次。由于UID卡会被检测出来，因此被屏蔽。FUID卡是没有后门的UID可修改的卡，其的0扇区0块数据一生中只能修改一次，除此之外，和M1标准卡完全一样，所以读卡系统不能进行检测屏蔽。

此类卡的关键信息如下：

TYPE :NXP MIFARE CLASSIC 1k | Plus 2k SL1 | 1k Ev1

[=]proprietary non iso14443-4 card found, RATS not supported

[=]Answers to magic commands: NO

[+]Prng detection: WEAK

4. Mifare UltraLight(简称M0)：512位高频非接触式IC卡，出厂固化UID，容量为512Bit，分为16块，每块4个字节可存储修改数据（地铁卡，公交卡），这个谁碰谁死，不做讨论。

二、IC卡常见的应用场景

（一）门禁卡

在3年的疫情期间，很多小区都安装了门禁系统，除了可以刷脸，还配有门禁IC卡。

IC卡的数据结构请移步：IC原理、结构的学习，并改造一个IC卡

通过之前学习的IC卡的基础知识，知道每个IC卡出厂都有一个固定的“卡号”，在扇区0的块0中。

另外，每个扇区都有两组密码在本扇区的尾块中，控制对本扇区内3个数据块的访问控制。

一般情况下，IC卡厂商的默认密码是“FFFFFFFFFFFF”。

所以，最简单的门禁就是使用默认密码来识别“卡号”，后台将IC卡的卡号录入到门禁系统中，在门禁端，只要刷（识别）这个卡就可以开门。

所以，一般认为这个门禁卡是没有数据的，也就是说是一张“空卡”。

（二）梯控卡

就是电梯的简单控制用的，如卡的使用期限、可以按哪幢楼、哪几层楼等等。

这类卡一般都使用几个加密扇区做为数据的存储和校验。

如东芝梯控卡的数据：在第1扇区有加密，并存储有数据。

金博梯控的数据是在第9和第10两个扇区。

我们大楼这个梯控数据是在第10和第11两个扇区：

对其进行分析，可见梯号、楼层、园区、滚动码位等信息：

同一张IC卡，在同一个电梯，刷卡两次，前后数据对比，只有滚动码变化：

某小区互联创系统的梯控数据：

分析如下：

以上分析工具来自网上，有些是限次、有些是需要会员的。

如果是是锁匠一般都会有几个分析工具，如锤子等

个人研究不在乎时间，可以寻找免费或限次的，毕竟没有大数据量。

（三）消费卡

大体分为两类：一是数据存储在卡上；二是数据存储在服务器上。

可以通过收费端大致判断两种类型：

收费机只有一根电源线，不进行联网的，基本上就是数据在IC卡上的，

多为小单位内部使用。

收费机进行联网才能进入系统，配有读卡器、扫描枪的，数据在服务器上，

多为大单位或联锁机构使用。

卡的结构依然是芯片加天线

有的加密扇区有很多

数据在卡上的，比较简单数据的如下，

加密了4 个扇区，使用了2个扇区存放数据，猜测如下：

数据在服务器上的，比较简单的数据猜测如下，

当然也有不简单的，数据在服务器上，但卡上数据也很多，如下：

由于最近论坛被限速，上传图片一直转圈圈，剩下内容只好另起一层楼了。

jf201006 · 发表于 2023-10-19 16:27:37

三、记录一次破解过程

了解IC卡的加密：

1、不更改默认密码，不加密

2、使用到的扇区更改密码，半加密

3、所有扇区都更改密码，全加密

破解IC卡,除了要解出密码，最重要的就是把IC卡的数据读出来。

破解的方法，比较普遍的是用ACR122U（经济），

更好一点的硬件是PM3（功能强大，速度快）。

一般情况下，使用nested攻击，可以获取大部分普通Mifare卡的密码，对于部分设计更加安全的卡片，使用hardnested攻击甚至带云计算的hardnested攻击也能获得密码，就是时间长短的问题。如果在卡片本身难以被破解的情况下，又或者没有卡的情况下，破解读卡器也是一个处理方案。PM3可以嗅探卡片与读卡器之间的通讯过程，并通过相关信息直接计算出密码，所以说PM3功能强大。