本帖最后由 36110788 于 2021-3-2 22:53 编辑
本人对4442、4428卡密码侦测的方法: 工具:读卡器用于读出数据和密码(废话)
file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg 自制转接卡:利用4442卡密码核对成功后保持开放的特性 测试对象:4442电卡及相对应的电表 将卡插入电表后核对数据后卡处于开放状态,拔出转接卡插入读卡器,读出卡密码。 有了卡密可以修改卡内容了。 4442卡保密特性: 1.密码核对正确前,全部数据均可读,如果有需要,可对数据进行适当加密。核对密码正确后可写入或修改数据 2.三字节的用户密码,校验通过后,至卡下电一直有效。校验通过后密码本身可更改,注意:密码区另外编址,不在0~256字节内 3.密码岀错计数器,初始值为3,密码核对岀错1次,便减1,若计数器值为0,则卡自动锁死,数据只可读出,不可再进行更改也无法再进行密码核对;若不为零时,有一次密码核对正确,可恢复到初始值 4.写保护区(前32个字节)的每一字节可单独进行写保护,进行写保护后,内容不可再更改(即固化数据 4442卡密码核对前可读不可写 测试过程后发 网上搜到大神用逻辑嗅探分析密码,,购入USBEE,和8通道的逻辑分析仪,侦测出了一大堆数据,奈何看不懂,放弃了。后看到双卡联立法。自己优化了做法。 图发的乱七八糟,大家将就看下把 file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image004.jpg
补充内容 (2023-8-27 05:09):
此4442和4428卡密码破译教程 (两张卡类似,广泛用于水电,燃气,美容机,门禁,一些特种设备,如某电梯授权卡。此次用4428卡为例)
读卡器读出卡数据复制到空白卡,设备是不识别的,因为卡的密码要相同。密码是前提。卡里的数据得出验证码,设备先读取表号再读取数据后得出验证码再对比卡的验证码,(修改充值数据也必须修改验证码)正确后才核对密码。这就是甲的卡插入乙卡表却不会烧卡的原因。每次充值会改变密码的卡,设备也能识别也基于密码隐藏在数据里。
配置卡冷1 82 55 00 D7 此处可以看出功能卡与验证码对应关系。D7为验证码。
冷2 82 55 01 D8
冷3 82 55 02 D9
冷4 82 55 03 DA
此数据十16位进制的(表号显示为实际号码,不会出现ABCDEF.如下行02 06 89指20689号,计算时就当作16进制而不用再十转十六进制)。表密码根据对应关系为F276 知道了密码就可以复制。若修改数据成功还需要数据的对应关系。
购水卡1 82 44 00 (00 00 00 )00 00 00 0A (D0) FF FF FF FF FF(密码对应表号)(验证码) 购水卡2 82 44 00 02 06 89 00 00 00 00 57 FF FF FF FF FF
购水卡3 82 44 00 (00 02 22)( 00 21) (00 2C )(37)(有兴趣的朋友尝试计算这行密码和验证码37怎么得出的?)(82+44+02+22+21+2c=?)00 21为购水次数 00 2C为购水量
初始化1 82 22 00 02 06 89 00 0A 00 00 00 16 00 0A 00 78 (密码对应表号)
01 69 00 04 00 21 00 06 00 05 03 09 7D FF FF FF (此卡有2行数据,有兴趣的朋友尝试找出验证码位置推断其他代码定义)(一些数据转换为10进制再看就一目了然了。)
检查卡1 82 33 B5 FF FF FF FF FF FF FF FF FF FF FF FF FF
生产支持卡1 82 11 00 00 00 00 00 0A 00 00 00 00 00 0A 00 00
00 00 00 00 00 00 00 00 00 05 27 0F (E2) FF FF FF
表号与密码对应关系表 (如表号12345 个位5=A 十位4=B 百位3=8 千位2=D,因为4428卡只有4位密码,万位忽略不计,如12345=2345,此卡密码为D8B5.)可以看出表号+1,密码就-1
个位 0=F 1=E 2=D 3=C 4=B 5=A 6=9 7=8 8=7 9=6
十位 0=F 1=E 2=D 3=C 4=B 5=A 6=9 7=8 8=7 9=6
百位 0=E 1=C 2=A 3=8 4=6 5=4 6=2 7=0(8=E 9=C千位
减1位 0=E 1=C 2=D 3=8 4=6 5=4 6=2 7=0 8=E 9=C)
千位 0=F 1=D 2=B 3=9 4=7 5=5 6=3 7=2 8=F 9=D
购水卡表号、冲水量、冲水次数与验证码对应表(c6=82+44) 82 44为购水卡代码。(因为验证码只有2位数,相加得到的百位数忽略不计。
00=C6 01=C7 02=C8 03=C9 04=CA 05=CB 6=CC 07=CD 08=CE 09=CF
10=D6 11=D7 12=D8..................................
20=E6 21=E7.....................
30=F6 31=F7......................
40=06..................
50=16...............
60=26.............
70=36..............
80=46...............
90=56..........
不提供重要功能卡数据。。。。。(如果你的购水卡数据正好雷同,自担后果。)
到此次卡数据就像个老妇裸体,没啥兴趣了~
不提供重要功能卡数据。。。。。
因为上家提供了发卡系统,所以有大量数据可供对比才能得出结论,只有一两次数据搞清地址定义就不错了。再提供个破解思路编个故事吧。。甲监听敌对方乙电台无法破解,甲故意泄露文件给乙。其中有3处相同词汇,2处相同符号。乙果然电台发出。甲根据乙密电的3处相同信号,再对比2处符号相同的信号,判断出正是此文件。再根据文件内容记录了乙的信号的代码的含义,破译出了乙其他电文。。。。破解4442卡不一定要多高的学问,最好有大量数据支撑,脑洞大开,事半功倍。。
每一个厂家的程序都不同,有的直接10进制码,有的16进制码,有的用ASCLL码连汉字都能显示。碰到过简单到发指的4442门禁授权卡,用的出厂密码 ,全卡数据就一个01(代表有权限)。也有的是百思不得其解。
最后提示:用有加减功能的16进制计算器,省力。此教程只是提供一种解密思路,切勿照猫画虎钻牛角尖,更别问此数据出自何品牌之类。
再次重申:破解水电卡费时费力,没有性价比,研究玩玩即可。。。。。。。一些特种设备授权卡(修改机械参数)关系到人身安全玩都别玩。。。。 | 
IP归属地
雷达卡
发表于 2021-3-2 15:28:18
提帖卡
置顶卡
锁帖卡
解锁卡
显目卡
千斤顶
楼主
发表于 2021-3-3 07:31:01
