RFID入门：Mifare1卡破解分析 | 邪恶十六进制
欢迎！登陆你的帐户
您的用户名
欢迎！注册帐户
您的用户名
欢迎登录您的帐户
您的用户名
欢迎！注册帐户
您的用户名
RFID入门：Mifare...Mifare&1K卡破解乱谈（二）
“2008年,德国研究员亨里克·普洛茨(Henryk
Plotz)和弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔(Karsten
Nohl)成功地破解了NXP的Mifare经典芯片(非接触智能卡,即平时所说的M1卡)的安全算法。M1卡被破解一事在全球掀起轩然大波，这意味着全球多达10亿张安全卡中所使用的一项技术可轻易破解。”
——百度百科&
去年年底心血来潮买了NFC设备，寒假在Windows上研究半天没研究出来什么，后来发现Linux才是真爱。
这是NFC模块。事实上呢，是因为我这是个裸的模块，Windows上貌似支持的不太好，人家开源的nfclib又看不懂不会移植所以我还是果断放弃win转投Linux。这个模块还需要一个TTL转USB的转接板才能接到电脑上，很便宜。人家有钱人都是用的下面这一个ACR122U读卡器，直接插到电脑上，win下已有现成的驱动，很方便。（ACR122U如下，图片来源网络）
下面说破解M1卡，主要是利用了M1卡发现的漏洞有两大攻击方法，对应的有两个开源工具可以使用，都是在Linux上的，自己下载编译运行。
1、nested authentication 攻击（验证漏洞攻击）
工具：mfoc
这一个要求是16个扇区中有默认密码存在，先探测出默认密码，然后利用默认密码跟卡建立通讯（如果密码不对读卡器无法与tag建立通讯），虽然读卡器不知道tag它在说什么，但是从tag的话中分析加暴力出它的加密方法（就是其他扇区密码）。其根本上还是猜解，但是从“只言片语”中分析可以使猜解时间变短。
2、darkside攻击
工具：mfcuk（注意后面不是fuck……）
如果所有扇区都被加密，没有默认密码怎么办？后来发现加密算法还有一个漏洞：当读卡器发送的加密数据中的某8bit全部正确的时候tag会给读卡器发送一个加密的4bit的数据回复NACK（否定应答），其他任何情况下tag都会直接停止交互。然后我们再利用这4bit的加密的NACK分析，解出key，如果一个扇区的key破解出来，就可以再使用nested
authentication 攻击破解其他扇区密码。
（有关原理的更多内容详见&）
以下是大概过程：
安装libnfc。在下载版本的时候要注意不一定要最新的版本，注意要跟工具支持的版本对应，要不然接口不一样要自己修改代码。。
下载地址：/p/libnfc/ （可能需要梯子，WTF）
PN532芯片的编译过程如下：
1、配置为uart
$ ./configure --with-drivers=pn532_uart
--enable-serial-autoprobe
2、编译代码
$ make clean
$ make install
（当初我是被Linux的各种依赖包弄的蛋疼菊紧，自行学习Linux……）
安装完可能会遇到的问题：No NFC device found
也就是安装没有成功，自己检查上面安装过程中有没有error，如果确认无误试一下这个：
然后安装mfoc。
下载地址：/p/mfoc/
编译安装：
Autoreconf -ivs
./configure --prefix=/usr/local
make install
我安装的时候automake没有，然后找他的包编译，然后又发现好像autoconf没有，然后找他的包编译，然后又发现……然后找他的包编译……WTF！
反正经历种种磨难安装成功后，基本就没有阻碍了。
mfoc -h查看使用说明，然后把卡放上去，接下来只需等待了。
不知道数据在哪可以多刷几次查找哪里是金额。既然已出密码，自然可以利用libnfc了。
安装mfcuk。这个我就不多说了，因为想用它破解一个全加密卡没有成功，我就没再继续搞。
扩展：/ 这个博客上有相关的东西，和其他有意思的东西，可以一看。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。22555人阅读
&&& 光说不练假把式，昨天一咬牙一跺脚入手了一块PN532开发板，看了几天的PN532C106 Application Note、User Manual，感觉这个芯片还行。关键是只有这个芯片的开发板比较便宜……穷啊，ACR122u都买不起，更别说神奇Proxmark3了，玩硬件就是砸钱啊
&& 说说这两天的收获。一开始看PN532支持卡模拟方式，把我乐的不行，又能当读卡器又能模拟卡，太实惠了，后来看手册才发现，单独的PN532只支持模拟标准的ISO 14443-4协议的卡，Mifare Classic(M1)是自己实现的私有协议，最高兼容到14443-3还是部分兼容。不过既然M1已经破解了，等板子到手后可以研究一下能不能自己写代码模拟一个M1卡，目前还是抱有一丝希望的。
& 破解M1卡，如果有一张可以改UID的 特种卡 那真是利器了，不过淘宝卖的太贵了100一张，是普通卡价格的100倍~！太坑爹了。于是我开始考虑可不可以把一张普通M1卡改造成特种卡。通过看资料得知M1的UID如同普通资料一样放在了0区，只是这个区的控制块权限改成了不能写（即使知道密码A、B也不能写），而且0区还存有制造商数据。单独为0区改电路是很麻烦的，由此推测，硬件上所有区应该都是相同的逻辑，只是在 M1卡芯片封装 前直接操作EEROM将UID和制造商、控制块权限数据写入使0区变为只读。
一知半解害死人，0块的只读应该不是控制块控制的，事情没那么简单，还是用PN532模拟靠点谱，最大的问题是timing（时序？） 看了网上一些帖子询问误操作控制块导致某个区锁死(变成跟0区一样只读)的解决办法，回答都是换新卡，也就是无解。所以，如果能找到一种绕过控制块权限的办法重写控制块便有可能将一张普通卡改造成特种卡，而且再也不用担心误操作锁死，可以随心所欲的写卡了。
&&& 不过，是否能找到这种方法呢？机会应该是十分渺茫的，这可真算得上Hardware Hacking了。溢出一个芯片？呵呵，听着都像神话，如何可以绕过控制块权限那连密码验证都绕过了，控制块应该是核心技术了难度可想而知，不过我们可以降低一下难度。非全加密的M1卡可以通过mfoc迅速解出所有扇区密码，应用的原理应该是Wirelessly Pickpocketing a Mifare Classic Card里的嵌套认证攻击，通过已知密码获得其他扇区密码的其中32位（密码一共6字节48位），穷举剩余16位，基本秒杀。略看了mfoc的源码，包含了很多m1白卡的默认密码
FFFFFFFFFFFF、A0B0C0D0E0F0等等，应该是利用这些扇区的密码充当一直扇区密码来破解的。全加密卡可以用mfcuk（注意不是mfuck，第一次看到这个程序时记成mfuck了，于是后来Google的时候怎么都找不到这个程序了，我还以为这么快就被和谐了呢）先破解出一个扇区的密码再用mfoc加速破解其他密码，原理也是猜的，应该是Wirelessly
Pickpocketing a Mifare Classic Card里的Varying the reader nonce方法，这个方法应该是时间、空间效率最高的而且对设备要求不高。
&&& 于是我的目标成了在已知A、B密码的情况下绕过控制块权限改写控制块内容
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：204345次
积分：2389
积分：2389
排名：第12202名
原创：35篇
评论：264条
(1)(1)(1)(1)(1)(2)(1)(1)(1)(1)(1)(1)(7)(3)(6)(3)(3)智能M1卡一卡一密破解 16扇区全加密卡破解 一卡一解解密
您当前的位置： &
& 智能M1卡一卡一密破解 16扇区全加密卡破解 一卡一解解密
点击图片查看大图
智能M1卡一卡一密破解 16扇区全加密卡破解 一卡一解解密&
85.5*54*0.86&
1.80元/张&
最小起订量：
供货总量：
1000000 张
发货期限：
自买家付款之日起 3 天内发货
发布时间：
21:42:47&&有效期至：长期有效
更新时间：
&NXP&S50卡破解，原装NXP&S50卡，NXP&S50解密
联系人：陈生&&&
手机：136&&&&&咨询QQ：
本公司提供IC卡解密服务，可解各种接触式IC卡密码、非接触式IC卡、一卡通、飞利浦S50卡、酒店IC卡、餐饮IC卡、停车卡、门禁卡、消费IC卡、会员储值IC卡、水表、电表、煤气表IC卡，医疗保险IC卡等，解密机率达99%，解密后所提供的卡与系统商所提供的卡一样，须经过发卡程序发卡授权后才能正常使用。
适用于ic卡解密加密。
提供以下服务：
&&&&批量加密停车场IC卡。IC门禁、品牌停车场（捷顺）、电梯、考勤、酒店IC卡等（IC卡、ID卡）授权加密。用大不大的可以向我们购买成品加密好或印刷好的IC卡。
&&&&物业管理单位一卡通工程商或是IC卡使用单位,使用量大。可以购买我们的批量加密设备。可自行加密任意系统的IC卡。
&&&&配卡的时候需寄一张正常使用的卡寄给我们进行测试
Miafre&1&S50感应式IC卡&
芯片：&Philips&Mifare&1&S50&
存储容量：8Kbit，16个分区，每分区两组密码&
工作频率：13.56&MHz&
通讯速率：106KBoud&
读写距离：2.5～10cm&
读写时间：1～2ms&
作温度：－20℃～85℃&
擦写寿命：&100,000次&
数据保存：&10年&
外形尺寸：ISO标准卡&85.6x54x0.80&/&厚卡&/&异形卡&
封装材料：PVC、ABS、PET、PETG、0.13mm铜线&
封装工艺：超声波自动植线&/&自动碰焊&
执行标准：ISO&14443，ISO&10536&
典型应用：企业/校园一卡通、公交储值卡、高速公路收费、停车场、小区管理等&
接触式IC卡常用芯片型号：
Mifare&1&S50、&Mifare&1&S70；Mifare&UtraLight&IC&U1、Mifare&DESFire&4K；Legic&MIM256&；FM11RF08；；ST&SR176、SRIX4K；I&CODE&1、&I&CODE&2；Tag-it&HF-I、Tag-it&TH-CB1A；Temic&e5551；Atmel&T5557、Atmel&T5567、Atmel&AT88RF256-12&；Hitag1、&Hitag&2；&EM&EM4100、EM&4102、&EM4069、EM4150；TK4100；Inside&2K、Inside&16K等。
&&&&深圳市翔卡智能开发有限公司专业制作生产各类PVC卡、非接触式IC卡、接触式IC卡、复合卡、滴胶卡、滴胶感应卡、异形卡、水滴卡、钥匙扣、磁条卡等智能卡，条码卡、密码卡、可视卡、贵宾卡、电信卡、商场会员卡、网吧卡、子母卡、人像卡等普通卡，以及ABS/PET、PETG等环保材料卡片的综合性现代化高科技，为客户提供一站式服务；其产品广泛应用在金融、电信、医疗、保险、智能交通、安防、图书管理、供应链物流仓储管理、校园一卡通、商场、酒店、餐饮、教育等各个领域。
下单流程：&
第一：通过QQ、邮件、快递、网络硬盘、等方式接受订单(设计稿)；&
第二：稿件确认后由我司负责制作订单贵公司签字确认(或口头确认)。&
第三：客户付定金(现金、银行转帐)后开始制作.生产周期为(4－10天);&
&&&&&（1000张以内货款制卡前全付，1000张以上先付30%-50%）&
第四：制作完毕后付余款发货，发货方式：(自提、快递、汽运、邮递、铁路、空运、）本产品网址：/b2b/oyzhimei/sell/itemid-.html}