MENU

Proxmark3 Easy 初学笔记

思维导图

基础知识

PM3

  1. 功能按钮
  2. ABCD 工作状态指示灯
  3. USB 接口
  4. 电源指示灯
  5. 低频读卡区
  6. 高频读卡区

 功能按钮有退出、取消、停止、强刷固件的功能,ABCD 指示灯作为设备运行的依据,闪烁说明正在进行,完全熄灭或者常亮代表攻击失败、等待。全部熄灭表示已经停止运行了,直接重新拔插设备。

ID卡 和 IC卡

  • ID卡:全称身份识别卡( Identification Card ),多为低频( 125Khz ),是一种不可写入的感应卡,含固定的编号,主要有台湾 SYRIS 的 EM 格式,美国 HID、TI、MOTOROLA 等各类 ID 卡。
  • IC卡:全称集成电路卡( Integrated Circuit Card ),又称智能卡( Smart Card )。多为高频( 13.56Mhz ),可读写数据容量大有加密功能、数据记录可靠、使用更方便,如一卡通系统、消费系统等,目前主要有 PHILIPS 的 Mifare 系列卡。

主要区别
ID 卡,低频,不可写入数据,其记录内容( 卡号 )只可由芯片生产厂一次性写入,开发商只可读出卡号加以利用,无法根据系统的实际需要制订新的号码管理制度;
IC 卡,高频,不仅可由授权用户读出大量数据,而且亦可由授权用户写入大量数据( 如新的卡用户的权限、用户资料等 ),IC 卡所记录内容可反复擦写;

IC 卡由于其固有的信息安全、便于携带、比较完善的标准化等优点,在身份认证、银行、电信、公共交通、车场管理等领域正得到越来越多的应用,例如二代身份证、银行的电子钱包,电信的手机SIM卡、公共交通的公交卡、地铁卡、用于收取停车费的停车卡、小区门禁卡等;

如何分辨

总结:
  1. ID 卡多为低频,IC 多为高频;
  2. IC 卡整体上看比 ID 卡更有优势,市面上使用的大多数也是 IC 卡;
  3. 对于矩形白卡,里面为矩形线圈、表面没有编号的多为 IC 卡,里面为圆形线圈、表面有编号的多为 ID 卡;
  4. 对于异形卡,有编号的多为 ID 卡,最好使用带 NFC 的手机进行测试( 目前手机 NFC 只能读高频 13.56Mhz ),IC 卡会有反应;

接触式和非接触式 IC 卡

IC 卡又可以分为接触式 IC 卡和非接触式 IC 卡。

  • 接触式 IC 卡:该类卡是通过 IC 卡读写设备的触点与 IC 卡的触点接触后进行数据的读写;
  • 非接触式 IC 卡:又称射频卡、感应式 IC 卡,该类卡与卡设备无电路接触,而是通过非接触式的读写技术进行读写(例如 RFID、NFC),其内嵌芯片除了CPU、逻辑单元、存储单元外,增加了射频收发电路。该类卡一般用在使用频繁、信息量相对较少、可靠性要求较高的场合。

RFID 和 NFC

非接触式的读写技术常见的有两种:RFID 技术和 NFC 技术。

  • RFID 技术:
    1. 通常应用在生产,物流,跟踪和资产管理上;
    2. 根据频率划分包含低频、高频(13.56MHz)、超高频、微波等;
    3. 作用距离取决于频率、读写器功率、读写器天线增益值、标签天线尺寸等,工作距离在几厘米到几十米不等;
    4. 读写器和非接触卡可以是一对多关系,也可以说一对一关系;且读写器和非接触卡是两个实体,不能切换;
  • NFC技术:
    1. 通常应用在门禁,公交卡,手机支付等领域;
    2. 频率也是 13.56MHz ,且兼容大部分 RFID 高频相关标准(有些是不兼容);
    3. NFC 作用距离较短,一般都是 0~10 厘米;
    4. 读写器和标签几乎都是一对一关系;且支持读写模式和卡模式,可以作为读写器也可变为非接触卡;

总体来说,NFC 是 RFID 的子集,但 NFC 有些新特性又是 RFID 所不具备的。

ID 卡类型

ID 卡,工作在低频(125Khz),根据卡内使用芯片的不同,有如下分类:

  • ID 卡
    EM4XX 系列,多为 EM4100/EM4102 卡,常用的固化 ID 卡,出厂固化 ID,只能读不能写;常用于低成本门禁卡,小区门禁卡,停车场门禁卡;
  • ID 白卡
    EM4305 或 T5577,可用来克隆 ID卡,出厂为白卡,内部 EEPROM 可读可写,修改卡内 EEPROM 的内容即可修改卡片对外的 ID 号,达到复制普通 ID 卡的目的;
    T5577 写入 ID 号可以变身成为 ID 卡,写入 HID 号可以变身 HID 卡,写入 Indala卡号,可以变身Indala 卡
  • HID卡
    全称 HID ProxⅡ,美国常用的低频卡,可擦写,不与其他卡通用;

IC 卡类型

IC 卡中最常见的是 NXP Mifare 系列卡,工作在高频(13.56Mhz),根据卡内使用芯片的不同,有如下分类:

  • M1 卡
    全称 Mifare S50,是最常见的卡,出厂固化 UID (UID 即指卡号,全球唯一),可存储修改数据;常用于学生卡,饭卡,公交卡,门禁卡;
  • M0 卡
    全称 Mifare UltraLight,相当于 M1 卡的精简版,容量更小、功能更少,但价格更低,出厂固化 UID,可存储修改数据;常用于地铁卡,公交卡;

以上两种固化了 UID,为正规卡,接下来就是一些没有固化 UID,即不正规的卡:

  • UID 卡
    全称 Mifare UID Chinese magic card,国外叫做中国魔术卡,M1 卡的变异版本,使用后门指令( magic指令 ),可修改 UID(UID 在 block0 分区),可以用来完整克隆 M1 卡的数据;
    但是现在新的读卡系统通过检测卡片对后门指令的回应,可以检测出 UID 卡,因此可以来拒绝 UID 卡的访问,来达到屏蔽复制卡的功能(即 UID 防火墙系统);
  • CUID 卡
    为了避开 UID 防火墙系统,CUID 卡应运而生,取消响应后门指令( magic指令 ),可修改 UID,是目前市场上最常用的复制卡;
    近两年,智能卡系统制造公司,根据 CUID 卡的特性研发出 CUID 卡防火墙,虽然现在(2019年)还不是很普及,但是总有一天 CUID 卡会和 UID 卡一样面临着淘汰;
  • FUID卡
    FUID 卡只能写一次 UID,写完之后自动固化 UID 所在分区,就等同 M1 卡,目前任何防火墙系统都无法屏蔽,复制的卡几乎和原卡一模一样;
    但缺点也相对明显,价格高、写坏卡率高,写错就废卡。
  • UFUID 卡
    集 UID 卡和 FUID 卡的优点于一身,使用后门指令,可修改 UID,再手动锁卡,变成 M1 卡
    可先反复读写 UID,确认数据无误,手动锁卡变成 M1,解决了 UID 卡的 UID 防火墙屏蔽,也解决 FUID 的一次性写入容易写错的问题,且价格比 FUID 卡还便宜;

判断是 M0 卡( Mifare UltraLight ),还是 M1 卡( Mifare Classic 1k ),可以通过 SAK 值判断。

产品 ATQA SAK UID长度
Mifare Mini 00 04 09 4 bytes
Mifare Classic 1k 00 04 08 4 bytes
Mifare Classic 4k 00 02 18 4 bytes
Mifare Ultraligh 00 44 00 7 bytes
Mifare Plus 00 44 20 7 bytes

卡类型总结

类型 频率 特性
Mifare S50( 简称 M1 ) 高频 最常见的卡,每张卡有独一无二的 UID 号,可保存修改数据,常见学生卡,饭卡,公交卡,门禁卡
Mifare UltraLight(简称M0) 高频 低成本卡,出厂固化 UID ,可储存修改数据,常见地铁卡,公交卡
Mifare UID(简称UID卡) 高频 M1卡的变异版本,可修改 UID ,国外叫做中国魔术卡,可以用来克隆 M1 S50 的数据
EM4XX(简称ID卡) 低频 常用固化 ID 卡,出厂固化 ID,只能读不能写(低成本门禁卡,小区门禁卡,停车场门禁卡)
T5577(简称可修改ID卡) 低频 可用来克隆 ID 卡,出厂为空卡,内有三区也可储存数据,个别三区科设置密码
HID ProxⅡ(简称HID卡) 低频 美国常用的低频卡,可擦写,不与其他卡通用

思路

简单使用

这里的 「简单使用」以 GUI 为例

IC 卡复制

在 PM3 的高频区放上你所想复制的母卡。

点击读 IC 卡类型

查询后得知为 M1 卡。

点击一键解析密码(这也太小白式了…)

弹出如上窗口则证明这张卡已经破解完成。

这时候我们把数据保存一下。

在高频区放上我们准备好的 UID 卡,点击读取

载入我们之前保存的母卡数据。

点击写 UID 卡

这时候我们再点击读 IC 卡类型核对一下,若数据相同则我们的一张简单的 IC 卡就复制成功了。并且还破解了防火墙,这时候放到黑加手环上尝试模拟一下。

模拟成功。

ID 卡复制

把准备好的 ID 母卡放在低频区。

我们选择到低频区,点击读ID/HID卡号,查询一下我们的 ID 卡 卡号是什么。

把准备好的 T5577 卡放在低频区,点击克隆 HID 卡

再点击读 ID/HID 卡号,若 ID 卡号相同则复制成功。


未完待续。


Refs:

Proxmark3 Easy破解门禁卡学习过程

NFC手机模拟加密门禁卡

Leave a Comment

66 Comments
  1. 复制完后PM3就被我卖了@(哈哈),准备搞个PN532玩玩

    1. @可乐#(赞一个)人民币管理大师。

  2. @(滑稽)不懂这方面,硬着头皮涨涨见识

    1. @乐心湖#(装大款)从入门到入狱。

  3. 看了感觉这个真的可以,做了科普了又增加了对这方面的认知和安全防范意识,美哉~

    1. @2broear#(献花)谢谢。

  4. 我天,这可太硬核了,我之前也一直想学硬件来着只可惜行动力不足...

    1. @夏目#(脸红)被拿写博客当写论文的大佬见笑了。

  5. 去年在前公司负责一个物联网项目,使用手持设备(说白了就是个安卓手机接了个UHF读写设备,还贼贵)改变产品的生产流程,因为产品是金属的原因采购了好多种抗金属的超高频标签,最小的比小指头指甲盖还小,就是厚,没有低于3mm的

    1. @Nroy@(滑稽)资本家坑资本家。

  6. 家祭无忘告乃翁。

    1. @Ryoma苟......

  7. 高中时一直想买这个PM3,可惜家境贫寒只能买个几十块的NFC读写器,尝试过复制饭卡和热水卡

    1. @zeruns#(傻笑)觉得那个就已经够用了。

  8. @(你懂的)催个更

    1. @I Am I#(喜极而泣)我不知道我这种还没完全玩明白的状态能不能写(抄)一篇。

    2. @c0sMx你的评论邮件提醒进垃圾箱了@(疑问)

    3. @I Am I这个真没办法,那麻烦放进白名单吧。#(喜极而泣)
      我在你博客为啥不能评论#(狂汗)

    4. @c0sMx这个测一测是哪里的问题:
      https://www.mail-tester.com/

    5. @4Rou#(小眼睛)谢谢。

  9. JinF JinF

    道歉都道了,还是没更!

    1. @JinF#(皱眉)抱歉啊,实在没有时间,这个坑先占着∠( ᐛ 」∠)_

    2. JinF JinF

      @c0sMx哈哈哈哈哈哈哈哈哈哈

  10. 什么时候才能更完#(皱眉)

    1. @JinF@(滑稽)憋着急,慢慢来。(啊啊啊,我也想更啊,但是没时间捣鼓啊@(滑稽)。

  11. 真的有那么神奇?

    1. @repostone(毕竟这种技术更新的比较慢

  12. 抱歉,有卡真的可以为所欲为@(滑稽)

    1. @欧尼酱@(滑稽)

  13. 我不能没有头像!

    1. @匿名自己去Gravatar注册一个帐号

  14. 匿名 匿名

    为什么我没有头像

  15. 不错!

    1. @免费节点谢谢

  16. 如此好文章一定要留下名啊

    1. @妙文屋(估计要好久才能写完

  17. 我也玩这个,不过仅仅是用来破解门禁、水卡、吹风卡。

    1. @左岸(嘿嘿嘿

  18. 催更滴滴@(滑稽)

    1. @初夏阳光(逃

    2. 初夏阳光 初夏阳光

      @c0sMx啊?我这条评论啊... 我这条是提前评论

    3. @初夏阳光#(装大款)头像都换过了哈哈哈哈。

  19. Lvv Lvv

    wow~好高端@(乖)

    1. @Lvv不高端der~

  20. 我博客更新咯,快来瞧瞧

    1. @GenesisMiuss嗯呐

  21. 我也有一个这个玩意

    1. @Rinvay(然后吃灰了

  22. 博主失踪了

    1. @Nroy(咳咳

  23. Google 了一下,这东西还能破解门禁卡那@(你懂的)

    1. @Ryoma对der

  24. 极客牛批

    1. @typecho模板我很菜der

  25. 看上去有很多玩法的样子 期待补完

    1. @熊猫小A慢慢来吧(哭哭

  26. @(滑稽)

    1. @野兔@(滑稽)

  27. 看起来好高端

    1. @可乐不高端不高端

  28. 高产如#(狂汗)

    1. @季悠然啥(嘿嘿)

  29. 小米家的嘛!

    1. @nice手电筒是哒

  30. 大黑阔

    1. @隔壁脸大爷辣鸡我,要去上学了#(喜极而泣)拜拜。