看雪论坛
发新帖
1

[原创]RFID安全之某学校饭卡破解

ChongHomHu 2014-1-7 16:39 29145
原文http://bobylive.com/static/1635首发自Firefly 风物 http://bobylive.com

继上次水卡的成功破解,对学校的饭卡也有点想要研究的念头了。既然这样,打铁趁热马上开始动手,先拿出MCT测试一下卡类型和扇区情况先。(不了解相关工具和术语的去看看之前的水卡破解案例http://bobylive.com/static/1493(看雪上也有哦,帖子地址http://bbs.pediy.com/showthread.php?t=182891)以及M1卡结构和破解探究http://bobylive.com/static/1491

按往常惯例先让主角上镜。

正面


背面


经MCT的检测,结果发现饭卡也是Mifare Classic 1k的卡。


那既然是M1卡,依旧来尝试读一下扇区,看有没有存在默认密钥。读取之后发现,卡片除了0扇区都被加密了,看来安全性还不错。可惜M1卡被破解,全部扇区加密都能够XOR算出密钥来还说有一个扇区密钥是知道的,无任何安全性可言。


0扇区并没加密,所以还是可以用跟水卡破解一样的手法,M1卡的验证漏洞,具体过程就不再阐述了,可以去翻看一下之前写过的,破解出密钥之后就重点来分析下算法。其实这跟软件破解是一样原理,我们需要的不是破解密钥的方法,而是从根源上将算法破解,破解密钥简单几步没任何电脑基础的都能完成,正如学编程不是学语法而是不断提高自己的程序思维,这样我们才能学到东西。

在我破解了密钥之后,我直接将key导入了MCT中,直接用MCT读取,比起用十六进制编辑器,我倒很喜欢有M1卡特有结构高亮功能的MCT,毕竟是专门用于Mifare卡的工具,卡中数据十分直观。仔细看看,1、2、10扇区存在数据,想要数据分析必须有多组数据,找同学借了几张卡来做对照。一轮对比过后,发现我的卡又是比较奇葩的,所有人的卡都是1、2扇区存在数据,只有我的10扇区有数据,纳闷啊……


把10扇区清空,忙着生命危险跑去小卖部试了试,发现一切正常,好了,我是奇葩……

我消费了几次,拿回来之后发现,都是2扇区的扇区数据发生了变化,基本可以确定钱的数据就在2扇区,那1扇区到底是干嘛的呢?尝试清空1扇区,再去小卖部试卡,一切正常。猛然想起,学校旧的热水系统是使用饭卡的,今年更换了新系统之后才换的卡,估计1扇区就是旧热水系统的了,机器现在已经不复存在了,果断清空。


重点来看看饭卡的数据,直接用电脑的十六进制编辑器打开dump文件,就发现2扇区0段有我的名字的存在,这里是使用GBK内码保存的汉字,然后我尝试将刚刚在消费机上看到的卡号转成十六进制,在名字前不远的地方就发现了痕迹,那现在尝试下修改姓名和卡号





抱着赴死的心再去小卖部(小卖部的阿姨已经开始注意我这个鬼鬼祟祟的小子了),在众多掩护之下拍下了这个结果图,成功了(拿人家卡拍的照片)。


接下来就到了最振奋人心的修改金额了,经过前面几次消费的分析,我发现2扇区除了0段和3段之外,中间的两段数据都是发生了改变,并且每次都只有其中一行发生改变,这个问题困扰了我将近一天时间,最后在某个时刻茅塞顿开,终于想明白了。卡中的两字节数据变化,泄露了这两行数据的用途。


01BF和01BE不刚刚好相差1吗?于是去小卖部多消费了几次,再结合之前充值的几次记录,终于发现,这个值每交易一次就会加1。这应该就是交易的次数记录了,问同学借了一张刚刚充值过的卡,发现不管是充值还是消费在这里都记录了最近两次的消费记录,并且第一行是记录奇数次的,第二行是记录偶数次的,这也就造成了之前为什么变化的位置不通。知道这个规矩之后后面的工作就简单得多了,每一行肯定是代表了一次消费记录,其他数据干什么用对于我们的分析也不会造成太大的干扰。


将我现在饭卡的余额转换成十六进制,马上就发现了前8位就是记录了这次交易后的余额,紧接着的就是这次的交易的金额,再接着就是消费次数,后面还有很长一段数据应该是消费机的编号了(这个会在后续继续破解,目前暂时没有头绪),尝试着将饭卡按这个规律计算了一次,将卡修改成一百多块钱,结果如下图。


一切弄好之后写入到新卡,拿去测试,一切正常,使用非常完好,到此为止饭卡也被全部破解了。改个强悍点的数值看一看。


破解成功,一万多估计够吃两年了吧
此次破解总耗时接近7天,而且还有一些隐晦数据没有清楚用途,后期继续进行研究。
上传的附件:
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (57)
8
Speeday 2014-1-7 16:46
2
强帖留名。
fgzhanhao 2014-1-7 16:48
3
你发财了 赶快多加几个零
1
ChongHomHu 2014-1-7 16:50
4
我试过换几个亿,可惜机器溢出了
jeffli 2014-1-7 16:57
5
贵校的卡余额不联网吗?
1
ChongHomHu 2014-1-7 16:58
6
消费记录会同步上传,但余额是保存在卡中的
iceway 2014-1-7 17:25
7
火钳留名。。。。。。。强啊
6
古河 2014-1-7 17:34
8
"晓美焰"是亮点啊。
Dstlemoner 2014-1-7 18:33
9
你在学校这么屌,你爸妈知道吗?
lizhenzhe 2014-1-7 18:37
10
强帖留名,lz屌爆了,不知道公交卡能破不
benxue 2014-1-7 18:38
11
安全隐患数据不联网
轩辕剑syz 2014-1-7 18:39
12
这样很危险,同学须谨慎啊,呵呵
1
ChongHomHu 2014-1-7 18:53
13
卡主ACG中毒很深…………
1
ChongHomHu 2014-1-7 18:55
14
联网也可以改,数据库的服务器不打补丁,已经彻底沦陷了
1
ChongHomHu 2014-1-7 18:56
15
哪有绝对的安全,小心点就是了
1
ChongHomHu 2014-1-7 18:57
16
公交卡是属于CPU卡(起码我们羊城通是),跟这种逻辑加密卡不同,目前破解可能性很小
vipwp 2014-1-7 19:08
17
你应该先去问下 能不能补卡   能不能提供刷卡记录
  规避风险…
我们学校金钱交易只用到了卡滴uid,卡中只存学号和名字…
每个sector都加密,密码要根据uid算,所以密码不能通用,…
目前只能用uid卡完全copy一张,在别人刷之前刷…
1
ChongHomHu 2014-1-7 19:12
18
翻过那个消费数据库发现是根据卡号进行记名的,记录最近30次消费,我的都是UID卡,都是改过UID的不怕查,至于一卡一密也是有办法破解的,可以按规律伪造数据
深水幽冥 2014-1-7 19:40
19
牛人啊!火钳留名!!!
旧信纸 2014-1-7 20:33
20
楼主火了的哈。
JingSao 2014-1-7 20:51
21
牛人啊!火钳留名!!!
1
comewhere 2014-1-7 22:09
22
强帖留名。。。
4
viphack 2014-1-7 22:11
23
很好 哈哈
vipwp 2014-1-7 22:33
24
当然这些对于你们那半公开的数据库来说,都是浮云~
xiejienet 2014-1-8 01:09
25
楼主开开门,有快递
1
ChongHomHu 2014-1-8 07:09
26
你或许可以尝试下渗透那个数据库,不过估计跟我们这边的一样是分开不同交换机的,你只能将网关搞到手才行
wltext 2014-1-8 08:03
27
之前只有要将卡备份,用光后将备份再刷进去,应该还能用吧?
1
ChongHomHu 2014-1-8 08:14
28
这是当然的,你说的这种叫做重放攻击,但既然知道密码看到数据当然要把算法也摸出来嘛
1
正happy 2014-1-8 09:37
29
你们学校的用户数据机器,竟然还连互联网,真乃奇葩~
1
ChongHomHu 2014-1-8 09:42
30
联网倒没,是独立线路的,但用点方法就能连上那个网段
jxrbwwp 2014-1-8 10:17
31
值得学习。
18
obaby 2014-1-8 10:28
32
先进,马上就是有钱淫了。哈哈
a寂寞 2014-1-8 14:23
33
有JCOP的破解教程么,刚买了KX注册,就为等你回答
1
ChongHomHu 2014-1-8 15:46
34
Java智能卡是CPU卡,而且现在金融业都是采用这这类卡片,安全性挺高,你可以参照下荷兰Radbound大学破解Mifare Classic的论文,从硬件角度来挖掘漏洞,我也正在想办法,手头上有几张CPU卡呢
a寂寞 2014-1-8 16:32
35
我JCOP的开发工具都没找到。LZ能破解时教教我吧。谢谢
1
zhjmyx 2014-1-8 19:41
36
奇怪的是数据怎么不存在服务器那里。可能是没想到 ,现在学生的水平已经到了这种境界
wkxq 2014-1-8 22:06
37
楼主辛苦了..这个可以有
yangningbo 2014-1-8 22:09
38
mark mark
1
ChongHomHu 2014-1-9 07:52
39
服务器只有消费记录,钱还是在卡里
1
zhjmyx 2014-1-9 18:50
40
比如网络游戏,都是把重要数据存在服务器那里,否则就遍地是超人
echotxl 2014-1-16 14:36
41
强帖啊,佩服。。交个好朋友吧。。
echotxl 2014-1-16 17:11
42
楼主,很好的观察能力。赞一个。
sunnysab 2014-1-17 13:26
43
同问。。
1
ChongHomHu 2014-1-18 10:11
44
公交卡多是CPU卡,目前基本无法破
Ciner 2014-1-27 15:32
45
牛人处处有,这里特别多啊,小的学习啦。。。
追踪幻想 2014-1-28 15:39
46
楼主查水表
1
exediy 2014-1-28 15:53
47
公交卡 地铁卡 全都是卡中存储金钱信息,消费联网记录.所以 都是可以修改的
米其林 2014-4-18 15:32
48
楼主真是高大上,20000多,求教方法工具,不知道公交卡可否修改,求加好友。
jxrbwwp 2014-4-18 15:54
49
玩玩可以,饭堂也不容易啊。适当注意度
轩辕追命 2014-4-18 16:52
50
我擦,竟然没加精,老大要饭去了吗
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 知道创宇带宽支持 | 微信公众号:ikanxue
Time: 0.018, SQL: 18 / 京ICP备10040895号-17