看雪安全论坛

 

 

 

 


返回   看雪安全论坛 > 智能设备 > 『智能设备应用』
忘记密码?

『智能设备应用』 讨论各类智能设备的应用和技巧,包括通讯技术、可穿戴设备、智能家居、开源硬件、其他硬件设备等。

发表新主题 回复
精华帖  
主题工具 显示模式
本站声明:看雪论坛文章版权属于作者,受法律保护。没有作者书面许可不得转载。若作者同意转载,必须以超链接形式标明文章原始出处和作者信息及本声明!
ChongHomHu
级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时

普通会员
普通会员

资 料:
注册日期: Jun 2012
帖子: 40 ChongHomHu 品行端正
精华: 1
现金: 217 Kx
致谢数: 0
获感谢文章数:2
获会员感谢数:5
1 旧 2014-01-07 16:39:18 默认 【原创】RFID安全之某学校饭卡破解
ChongHomHu 当前离线

标 题: 【原创】RFID安全之某学校饭卡破解
作 者: ChongHomHu
时 间: 2014-01-07,16:39:18
链 接: http://bbs.pediy.com/showthread.php?t=183525

原文http://bobylive.com/static/1635首发自Firefly 风物 http://bobylive.com

继上次水卡的成功破解,对学校的饭卡也有点想要研究的念头了。既然这样,打铁趁热马上开始动手,先拿出MCT测试一下卡类型和扇区情况先。(不了解相关工具和术语的去看看之前的水卡破解案例http://bobylive.com/static/1493(看雪上也有哦,帖子地址http://bbs.pediy.com/showthread.php?t=182891)以及M1卡结构和破解探究http://bobylive.com/static/1491

按往常惯例先让主角上镜。

正面
点击图片以查看大图

图片名称:	wpid-IMG_20131221_100749.jpg
查看次数:	13
文件大小:	49.9 KB
文件 ID :	86359

背面
点击图片以查看大图

图片名称:	wpid-IMG_20131221_100847.jpg
查看次数:	7
文件大小:	49.2 KB
文件 ID :	86360

经MCT的检测,结果发现饭卡也是Mifare Classic 1k的卡。
点击图片以查看大图

图片名称:	wpid-Screenshot_2013-11-28-22-00-33.jpg
查看次数:	7
文件大小:	36.4 KB
文件 ID :	86363

那既然是M1卡,依旧来尝试读一下扇区,看有没有存在默认密钥。读取之后发现,卡片除了0扇区都被加密了,看来安全性还不错。可惜M1卡被破解,全部扇区加密都能够XOR算出密钥来还说有一个扇区密钥是知道的,无任何安全性可言。
点击图片以查看大图

图片名称:	wpid-Screenshot_2013-11-28-21-54-19.jpg
查看次数:	5
文件大小:	36.5 KB
文件 ID :	86362

0扇区并没加密,所以还是可以用跟水卡破解一样的手法,M1卡的验证漏洞,具体过程就不再阐述了,可以去翻看一下之前写过的,破解出密钥之后就重点来分析下算法。其实这跟软件破解是一样原理,我们需要的不是破解密钥的方法,而是从根源上将算法破解,破解密钥简单几步没任何电脑基础的都能完成,正如学编程不是学语法而是不断提高自己的程序思维,这样我们才能学到东西。

在我破解了密钥之后,我直接将key导入了MCT中,直接用MCT读取,比起用十六进制编辑器,我倒很喜欢有M1卡特有结构高亮功能的MCT,毕竟是专门用于Mifare卡的工具,卡中数据十分直观。仔细看看,1、2、10扇区存在数据,想要数据分析必须有多组数据,找同学借了几张卡来做对照。一轮对比过后,发现我的卡又是比较奇葩的,所有人的卡都是1、2扇区存在数据,只有我的10扇区有数据,纳闷啊……
点击图片以查看大图

图片名称:	wpid-Screenshot_2013-11-29-15-21-25.jpg
查看次数:	1
文件大小:	64.6 KB
文件 ID :	86364

把10扇区清空,忙着生命危险跑去小卖部试了试,发现一切正常,好了,我是奇葩……

我消费了几次,拿回来之后发现,都是2扇区的扇区数据发生了变化,基本可以确定钱的数据就在2扇区,那1扇区到底是干嘛的呢?尝试清空1扇区,再去小卖部试卡,一切正常。猛然想起,学校旧的热水系统是使用饭卡的,今年更换了新系统之后才换的卡,估计1扇区就是旧热水系统的了,机器现在已经不复存在了,果断清空。
点击图片以查看大图

图片名称:	wpid-Screenshot_2013-11-29-15-36-13.jpg
查看次数:	5
文件大小:	58.0 KB
文件 ID :	86365

重点来看看饭卡的数据,直接用电脑的十六进制编辑器打开dump文件,就发现2扇区0段有我的名字的存在,这里是使用GBK内码保存的汉字,然后我尝试将刚刚在消费机上看到的卡号转成十六进制,在名字前不远的地方就发现了痕迹,那现在尝试下修改姓名和卡号


点击图片以查看大图

图片名称:	wpid-Screenshot_2013-11-29-15-45-55.jpg
查看次数:	3
文件大小:	58.4 KB
文件 ID :	86366

点击图片以查看大图

图片名称:	wpid-Screenshot_2013-11-29-15-46-10.jpg
查看次数:	5
文件大小:	58.7 KB
文件 ID :	86367
抱着赴死的心再去小卖部(小卖部的阿姨已经开始注意我这个鬼鬼祟祟的小子了),在众多掩护之下拍下了这个结果图,成功了(拿人家卡拍的照片)。
点击图片以查看大图

图片名称:	wpid-IMG_20131120_211306.jpg
查看次数:	8
文件大小:	55.0 KB
文件 ID :	86358

接下来就到了最振奋人心的修改金额了,经过前面几次消费的分析,我发现2扇区除了0段和3段之外,中间的两段数据都是发生了改变,并且每次都只有其中一行发生改变,这个问题困扰了我将近一天时间,最后在某个时刻茅塞顿开,终于想明白了。卡中的两字节数据变化,泄露了这两行数据的用途。
点击图片以查看大图

图片名称:	wpid-Screenshot_2013-12-20-19-50-11.jpg
查看次数:	5
文件大小:	53.4 KB
文件 ID :	86368

01BF和01BE不刚刚好相差1吗?于是去小卖部多消费了几次,再结合之前充值的几次记录,终于发现,这个值每交易一次就会加1。这应该就是交易的次数记录了,问同学借了一张刚刚充值过的卡,发现不管是充值还是消费在这里都记录了最近两次的消费记录,并且第一行是记录奇数次的,第二行是记录偶数次的,这也就造成了之前为什么变化的位置不通。知道这个规矩之后后面的工作就简单得多了,每一行肯定是代表了一次消费记录,其他数据干什么用对于我们的分析也不会造成太大的干扰。
点击图片以查看大图

图片名称:	wpid-Screenshot_2013-12-20-20-33-15.jpg
查看次数:	0
文件大小:	31.8 KB
文件 ID :	86369

将我现在饭卡的余额转换成十六进制,马上就发现了前8位就是记录了这次交易后的余额,紧接着的就是这次的交易的金额,再接着就是消费次数,后面还有很长一段数据应该是消费机的编号了(这个会在后续继续破解,目前暂时没有头绪),尝试着将饭卡按这个规律计算了一次,将卡修改成一百多块钱,结果如下图。
点击图片以查看大图

图片名称:	wpid-Screenshot_2013-12-20-20-39-27-1.jpg
查看次数:	1
文件大小:	35.5 KB
文件 ID :	86370

一切弄好之后写入到新卡,拿去测试,一切正常,使用非常完好,到此为止饭卡也被全部破解了。改个强悍点的数值看一看。
点击图片以查看大图

图片名称:	wpid-IMG_20131224_222953.jpg
查看次数:	12
文件大小:	31.5 KB
文件 ID :	86361

破解成功,一万多估计够吃两年了吧
此次破解总耗时接近7天,而且还有一些隐晦数据没有清楚用途,后期继续进行研究。
回复时引用此帖 返回顶端
Speeday
级别:23 | 在线时长:634小时 | 升级还需:38小时级别:23 | 在线时长:634小时 | 升级还需:38小时级别:23 | 在线时长:634小时 | 升级还需:38小时级别:23 | 在线时长:634小时 | 升级还需:38小时级别:23 | 在线时长:634小时 | 升级还需:38小时

Speeday 的头像

中级会员
中级会员

资 料:
注册日期: Apr 2012
帖子: 333 Speeday 品行端正
精华: 8
现金: 361 Kx
致谢数: 4
获感谢文章数:8
获会员感谢数:54
2 旧 2014-01-07, 16:46:59 默认
Speeday 当前离线

强帖留名。
回复时引用此帖 返回顶端
fgzhanhao
级别:28 | 在线时长:912小时 | 升级还需:45小时级别:28 | 在线时长:912小时 | 升级还需:45小时级别:28 | 在线时长:912小时 | 升级还需:45小时级别:28 | 在线时长:912小时 | 升级还需:45小时

初级会员
初级会员

资 料:
注册日期: Jun 2011
帖子: 33 fgzhanhao 品行端正
精华: 0
现金: 387 Kx
致谢数: 1
获感谢文章数:0
获会员感谢数:0
3 旧 2014-01-07, 16:48:14 默认
fgzhanhao 当前在线

你发财了 赶快多加几个零
回复时引用此帖 返回顶端
ChongHomHu
级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时

普通会员
普通会员

资 料:
注册日期: Jun 2012
帖子: 40 ChongHomHu 品行端正
精华: 1
现金: 217 Kx
致谢数: 0
获感谢文章数:2
获会员感谢数:5
4 旧 2014-01-07, 16:50:58 默认
ChongHomHu 当前离线

引用:
最初由 fgzhanhao发布 查看帖子
你发财了 赶快多加几个零...
我试过换几个亿,可惜机器溢出了
回复时引用此帖 返回顶端
jeffli
级别:6 | 在线时长:75小时 | 升级还需:2小时级别:6 | 在线时长:75小时 | 升级还需:2小时级别:6 | 在线时长:75小时 | 升级还需:2小时

初级会员
初级会员

资 料:
注册日期: Jul 2007
帖子: 73 jeffli 品行端正
精华: 0
现金: 233 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
5 旧 2014-01-07, 16:57:15 默认
jeffli 当前离线

贵校的卡余额不联网吗?
回复时引用此帖 返回顶端
ChongHomHu
级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时

普通会员
普通会员

资 料:
注册日期: Jun 2012
帖子: 40 ChongHomHu 品行端正
精华: 1
现金: 217 Kx
致谢数: 0
获感谢文章数:2
获会员感谢数:5
6 旧 2014-01-07, 16:58:39 默认
ChongHomHu 当前离线

引用:
最初由 jeffli发布 查看帖子
贵校的卡余额不联网吗?...
消费记录会同步上传,但余额是保存在卡中的
回复时引用此帖 返回顶端
iceway
级别:26 | 在线时长:787小时 | 升级还需:50小时级别:26 | 在线时长:787小时 | 升级还需:50小时级别:26 | 在线时长:787小时 | 升级还需:50小时级别:26 | 在线时长:787小时 | 升级还需:50小时级别:26 | 在线时长:787小时 | 升级还需:50小时

iceway 的头像

初级会员
初级会员

资 料:
注册日期: Jun 2008
帖子: 503 iceway 普普通通
精华: 0
现金: 105 Kx
致谢数: 6
获感谢文章数:2
获会员感谢数:2
7 旧 2014-01-07, 17:25:18 默认
iceway 当前离线

火钳留名。。。。。。。强啊
回复时引用此帖 返回顶端
古河
级别:37 | 在线时长:1553小时 | 升级还需:43小时级别:37 | 在线时长:1553小时 | 升级还需:43小时级别:37 | 在线时长:1553小时 | 升级还需:43小时级别:37 | 在线时长:1553小时 | 升级还需:43小时

『Android安全』版主
『Android安全』版主

资 料:
注册日期: Dec 2007
帖子: 129 古河 品行端正
精华: 6
现金: 725 Kx
致谢数: 3
获感谢文章数:10
获会员感谢数:47
8 旧 2014-01-07, 17:34:21 默认
古河 当前离线

"晓美焰"是亮点啊。
回复时引用此帖 返回顶端
Dstlemoner
级别:34 | 在线时长:1347小时 | 升级还需:18小时级别:34 | 在线时长:1347小时 | 升级还需:18小时级别:34 | 在线时长:1347小时 | 升级还需:18小时级别:34 | 在线时长:1347小时 | 升级还需:18小时

Dstlemoner 的头像

初级会员
初级会员

资 料:
注册日期: Apr 2011
帖子: 620 Dstlemoner 品行端正
精华: 0
现金: 523 Kx
致谢数: 16
获感谢文章数:5
获会员感谢数:5
9 旧 2014-01-07, 18:33:57 默认
Dstlemoner 当前离线

你在学校这么屌,你爸妈知道吗?
回复时引用此帖 返回顶端
lizhenzhe
级别:41 | 在线时长:1883小时 | 升级还需:49小时级别:41 | 在线时长:1883小时 | 升级还需:49小时级别:41 | 在线时长:1883小时 | 升级还需:49小时级别:41 | 在线时长:1883小时 | 升级还需:49小时级别:41 | 在线时长:1883小时 | 升级还需:49小时

lizhenzhe 的头像

初级会员
初级会员

资 料:
注册日期: Feb 2011
帖子: 140 lizhenzhe 品行端正
精华: 0
现金: 679 Kx
致谢数: 7
获感谢文章数:1
获会员感谢数:1
10 旧 2014-01-07, 18:37:16 默认
lizhenzhe 当前离线

强帖留名,lz屌爆了,不知道公交卡能破不
回复时引用此帖 返回顶端
benxue
级别:39 | 在线时长:1693小时 | 升级还需:67小时级别:39 | 在线时长:1693小时 | 升级还需:67小时级别:39 | 在线时长:1693小时 | 升级还需:67小时级别:39 | 在线时长:1693小时 | 升级还需:67小时级别:39 | 在线时长:1693小时 | 升级还需:67小时级别:39 | 在线时长:1693小时 | 升级还需:67小时

benxue 的头像

初级会员
初级会员

资 料:
注册日期: Feb 2011
帖子: 48 benxue 品行端正
精华: 0
现金: 435 Kx
致谢数: 2
获感谢文章数:1
获会员感谢数:1
11 旧 2014-01-07, 18:38:29 默认
benxue 当前离线

安全隐患数据不联网
回复时引用此帖 返回顶端
轩辕剑syz
级别:8 | 在线时长:103小时 | 升级还需:14小时级别:8 | 在线时长:103小时 | 升级还需:14小时

初级会员
初级会员

资 料:
注册日期: Oct 2006
帖子: 41 轩辕剑syz 品行端正
精华: 0
现金: 219 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
12 旧 2014-01-07, 18:39:05 默认
轩辕剑syz 当前离线

这样很危险,同学须谨慎啊,呵呵
回复时引用此帖 返回顶端
ChongHomHu
级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时

普通会员
普通会员

资 料:
注册日期: Jun 2012
帖子: 40 ChongHomHu 品行端正
精华: 1
现金: 217 Kx
致谢数: 0
获感谢文章数:2
获会员感谢数:5
13 旧 2014-01-07, 18:53:58 默认
ChongHomHu 当前离线

引用:
最初由 古河发布 查看帖子
"晓美焰"是亮点啊。...
卡主ACG中毒很深…………
回复时引用此帖 返回顶端
ChongHomHu
级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时

普通会员
普通会员

资 料:
注册日期: Jun 2012
帖子: 40 ChongHomHu 品行端正
精华: 1
现金: 217 Kx
致谢数: 0
获感谢文章数:2
获会员感谢数:5
14 旧 2014-01-07, 18:55:11 默认
ChongHomHu 当前离线

引用:
最初由 benxue发布 查看帖子
安全隐患数据不联网...
联网也可以改,数据库的服务器不打补丁,已经彻底沦陷了
回复时引用此帖 返回顶端
ChongHomHu
级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时级别:19 | 在线时长:477小时 | 升级还需:3小时

普通会员
普通会员

资 料:
注册日期: Jun 2012
帖子: 40 ChongHomHu 品行端正
精华: 1
现金: 217 Kx
致谢数: 0
获感谢文章数:2
获会员感谢数:5
15 旧 2014-01-07, 18:56:14 icon18
ChongHomHu 当前离线

引用:
最初由 轩辕剑syz发布 查看帖子
这样很危险,同学须谨慎啊,呵呵...
哪有绝对的安全,小心点就是了
回复时引用此帖 返回顶端
发表新主题 回复

添加到书签

标签
ic卡, rfid, 安全, 破解, 饭卡

主题工具
显示模式

发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛论坛启用 vB 代码
论坛启用 表情图标


所有时间均为北京时间, 现在的时间是 01:49:26.


  ©2000-2014 看雪学院(PEdiy.com) |关于我们 | 京ICP备10040895号-8 | 知道创宇提供带宽资源 | 微信公众帐号:ikanxue   手机客户端: