一、需求场景
近来小区安装了智能门禁,但只配发了一张门禁卡,不方便使用,于是产生了用手机模拟门禁卡,或者复制一张门禁卡的想法。
本文使用的软件:(CSDN无法修改下载积分了。。。)
包括手机NFC读写卡神器Mifare Classic Tool(MCT)2.2.5最新版、手机读卡工具NFC TagInfo、NFC卡模拟软件Card emulator、RE管理器,以及一款NFC模拟的小工具0.4(适配机型不多)。
(由于原理一致,本文只侧重于讨论手机NFC写白卡,不讨论PN532、PM3、COPY5等设备读写卡。)
(本文是对研究过程的记录,只作学术研究,作者遵纪守法,是个良民。)
二、卡片分类
M1卡:全称Mifare classic 1K,普通IC卡,0扇区不可修改,其他扇区可以反复擦写。通常我们使用的门禁卡、电梯卡都是M1卡。
M1卡是NXP(恩智浦半导体)公司研发的IC卡,执行标准是ISO/IEC14443 Type A,读写频率是13.56MHz。目前大多数手机厂商使用的NFC芯片都是NXP,另一部分则是BRCM(博通)方案,均执行同一标准,这是手机读写M1卡的技术基础。
UID卡:普通复制卡,可以反复擦写所有扇区,门禁有防火墙则失效。
CUID:升级复制卡,可以反复擦写所有扇区,可以穿透大部分防火墙。
FUID:高级复制卡,0扇区只能写入一次,写入后变为M1卡。
UFUID:超高级复制卡,0扇区只能写入一次,封卡后变为M1卡,不封卡变为UID卡。
复制卡均可在网上购买,有普通卡片、钥匙扣、滴胶卡等类型,CUID通常1.5元/张,越高级的卡越贵。
三、M1卡的结构
(计算机领域的计数均是从0开始)
(M1卡标准储存的数据使用16进制,简称HEX,即由0-9、A-F组成,也写作0xAA)
(一)存储结构
Mifare classic 1K,即存储容量1K=1024Byte,包括16个扇区,每个扇区含4个块,每个块16Byte.
第0扇区比较特殊,0区0块前8位为厂商UID码,可以理解为M1卡的识别码。
0-2块为储存内容区间。
3块为系统保留区间,用于存放卡密码和控制码,其中:
3块前12位为keyA(密码A),3块后12位为keyB(密码B),3块中间8位为控制码。
A/B密码的默认值为12个F或0,翻译为2进制即4*12个1或0
控制码默认值为FF078069,意思是A密码(非默认情况下)不可见,B密码可见,读写验证A密码。
M1卡结构的参考文章
(二)读写权限
M1卡有4种主要权限:读、写、增量、减量。
以及2种附权限:读写控制码、读写A/B密码。
每种权限都要使用A或B密码、并在控制码约束下来操作。
基于M1卡的结构及读取权限特点,M1卡又可以分为非加密、半加密、全加密三种类型。
非加密:16个扇区的A/B密码均使用默认值。
半加密:0扇区外的某一个或多个数据扇区A/B密码不是默认值。
全加密:所有扇区A/B密码不是默认值。(由于M1卡的加密逻辑已经被公开,所以所有的M1加密卡都可以被破解,破解能力PN532<PM3<COPY5)
四、防伪系统的原理和破解
常见的防伪系统有三种,
一是加密型,通过对扇区进行加密实现防伪。单纯的加密型已经可以通过PN532、PM3等工具完成破解。
虽然卡A/B密码可以被破解,但真正破解的重头戏是在于如何找出卡信息的存储规律,从而进行自定义修改等操作。
二是篡改型,刷卡时系统尝试写入0扇区,如果成功,则卡片作废(CUID特性,0扇区可反复擦写)。
三是滚码型,每次刷卡,系统都从特定扇区读取验证一段校验码,并写入新的校验码。如果不能通过多次刷卡找到校验码的规律,则不可复制。
五、卡模拟及复制
(由于手机NFC的特性,通常用手机模拟M1卡时,只模拟8位厂商UID码。)
(使用手机模拟M1卡,必须ROOT,因为原生安卓不开放NFC的控制API)
(小米、华为可以通过自带的钱包功能实现模拟,无需ROOT)
了解了上述M1卡的一些基础知识后,再进行卡模拟或复制效率就高了。
(一)手机模拟M1卡
1、识别手机NFC的类型
由于不同手机厂商使用的NFC芯片不同,首先要确认自己的手机是什么NFC芯片,执行了什么协议标准。方法是用另一台手机使用NFC TagInfo识别目标手机,
-
情况1. 识别不到,或被反向识别(即目标手机反而识别出了另一台手机的识别码)。
-
情况2. 多次识别,目标手机UID没有变化。
-
情况3. 多次识别,目标手机UID是08开头的随机值。
上述情况1./2.通常出现在安卓7.0以下,或国产手机阵营中,说明可以通过最简单的“直接修改配置文件”的方法完成M1卡模拟。
上述情况3.通常出现在安卓7.0以上,或三星S6以上产品中,只能通过“间接修改配置文件”的方法完成M1卡模拟。
2、直接修改配置文件
(1)利用模拟APP
大多数NFC模拟APP的原理都是利用ROOT权限,修改手机NFC的配置文件,改变默认应答码。
安卓的NFC配置文件保存在/vendor/etc/目录下,根据芯片的不同,分为libnfc-nci.conf、libnfc-nxp.conf和libnfc-brcm.conf
现在已经有成熟的APP可以完成模拟,比如NFC卡模拟软件Card emulator。该软件 V4.0.1以前的普通版本有广告,但没有模拟卡数量的功能限制。其配置文件存放在手机存储目录下的/card emulator/cards.json中,可以使用文本编辑器修改。
(2)利用RE管理器
这个方法的原理和上述APP的,修改过程网上很多,这里不再赘述,可以参考文章1,文章2。
3、间接修改配置文件
如果出现前述情况3.,说明系统不支持修改配置文件改变NFC应答码,这是ISO/IEC 14443-3协议中关于冲突检测的安全性要求。
间接修改的方式需要通过修改NCI层的libnfc-nci.so函数,来实现控制NFCC的目的,从而改变NFC随机应答码。
操作过程很复杂,不推荐使用,具体可以参考文章。
(二)复制卡
不希望ROOT手机的玩家可以购买复制卡进行复制。
购买哪种复制卡要根据原卡情况进行选择,如果原卡是非加密卡,或是内容较简单的卡,推荐购买CUID,也可以买些UFUID以备不时之需。
MCT是手机读写M1卡的神器(无需ROOT),其功能包括读写卡、分析卡内容(APP中称作‘转储’)、自定义A/B密码。
MCT自带了两种密码字典:
-
std.keys(如12个F/0等常用的密码组合)
-
extended-std.keys(如A1B2C3等常见的密码组合)
在读写卡时需要加载这些密码字典,来完成解码。
也可以自定义密码,或是下载一些字典文件,用手机解码(手机的运算速度不如电脑,不推荐用手机解码)
MCT的操作网上有很多,这里写一些自己操作的心得。
1、通常第一次写白卡时(CUID等),先编辑好需要写入的卡内容(即转储文件),用“写转储(克隆)”,即dump模式,一次写入一个或多个扇区。
2、非常推荐第一次写白卡时就改写默认控制码,使用【08778F69】,意思是A密码用于读取,B密码用于写入,A可见B不可见。(操作这一步一定要牢记B密码)
使用这一控制码的好处:
(1)可以通过修改B密码,防止别人或门禁防伪系统覆盖写入你的CUID卡。
(2)可以防止默认控制码dump写入后出现A密码不可读的情况。
(3)后续可以通过MCT指定位置针对性地修改部分块信息,不需要整卡格式化。
3、如果是全卡复制型写入白卡,在复写时,要先格式化全卡。
六、结语
本文记录了作者使用手机NFC模拟M1门禁卡,以及写CUID白卡的一些研究过程,其中仍有不少瑕疵。随着研究的深入,也发现M1卡和安卓系统有很多值得花时间探索的地方,下一步学习计划写一个针对间接修改NFC配置文件的APP来实现卡模拟。
博学之,审问之,慎思之,明辨之,笃行之。