0x00 前言

之前一直想要玩無線安全，旺財大牛說門檻低（哪里低啦=。=web狗表示我很笨啊，汪汪），于是乎入手了ACR122u，想從NFC開始入坑，就有了這篇文章，先普及下基本知識。

Mifare Classic card提供1k-4k的容量，我們經(jīng)常見到的是Mifare Classic 1k(S50)，也就是所謂的M1卡。M1卡有從0到15共16個扇區(qū)，并且每個扇區(qū)都有獨立的密碼，每個扇區(qū)配備了從0到3共4個段，每個段可以保存16字節(jié)的內(nèi)容，反正從0開始數(shù) 就對了（和數(shù)組下標(biāo)為0開始一樣）。

每個扇區(qū)的第4段呢是用來保存KeyA，KeyB和控制位的，每張卡還有一個唯一標(biāo)識的UID號，具體的卡結(jié)構(gòu)大家可以百度一下看看。

我們本文的研究對象就是這玩意兒，谷歌告訴我們，這種卡類的攻擊方式大概分為這么幾種：

1）暴力破解

爆破對于M1卡的破解來說比較有效，因為M1卡是被動卡，需要讀卡器來供能，切斷供能后卡的臨時數(shù)據(jù)就丟失了，也就是說不會存在輸入過多錯誤密碼后造成的鎖死之類的情況
FFFFFFFFFFFF、A0B0C0D0E0F0等等都是M1白卡的默認(rèn)密碼，所以當(dāng)我們使用mfoc這樣的工具來爆破的時候基本上都是用這些默認(rèn)密碼來填充剩余扇區(qū)的密碼。

2）重放攻擊

剛剛我們說了M1卡是被動卡，當(dāng)它被供能的時候會產(chǎn)生隨機(jī)數(shù)列，切斷供能后數(shù)據(jù)不會保存，再次供能又會產(chǎn)生一模一樣的數(shù)列，然后就可以控制切斷，再次供能的時間計算出這個數(shù)列，進(jìn)行重放攻擊來達(dá)到修改數(shù)據(jù)的目的。

3）克隆卡片（卡復(fù)制）

M1卡的扇區(qū)可以保存數(shù)據(jù)，所以大部分的卡片會選擇加密扇區(qū)后保存數(shù)據(jù)，我們可以用 uid卡來進(jìn)行復(fù)制，每張M1卡在0扇區(qū)第1段都有一個唯一標(biāo)識，而且是保護(hù)無法修改的，uid 卡就是沒有設(shè)定0扇區(qū)保護(hù)的卡，所以你可以隨意的修改你想要的uid，這樣我們就可以克隆出一張連uid都相同的卡片了。（但是要注意不要把00扇區(qū)弄 壞，之前測試的時候就未知原因?qū)憠牧?0扇區(qū)無法讀入了）。

4）嗅探攻擊

這里要用到PM3這個神器，在卡和機(jī)器數(shù)據(jù)交換的時候嗅探數(shù)據(jù)，進(jìn)行攻擊，利用XOR算key工具就可以把扇區(qū)的密鑰計算出來（窮逼表示根本買不起）。

0x01 細(xì)節(jié)

科普結(jié)束，接下來以一個實例來講解以下破解M1卡的姿勢（筆者才開始入坑，如有不對，請大牛斧正）。

關(guān)于暴力破解，我們此處用到這么幾個東西，ACR122u，mfoc，libnfc。

其中ACR122u作為硬件供能，讀寫的作用，mfoc用來爆破，libnfc用來寫入數(shù)據(jù)。

可以看到讀出了我們的卡類型，下方的keyA keyB就是要我們破解的地方，當(dāng)然，也可以使用另外一個簡化版本，更粗暴簡單一些，百度M1卡服務(wù)程序即可。

稍等片刻后就發(fā)現(xiàn)上下各16個勾勾都打上了，說明成功爆破了，成功后會在當(dāng)前目錄下生成一個dump文件，這樣，這張卡的數(shù)據(jù)就被完全dump下來了，得到dumpfile1但是只有1k的大小，在win下操作的時候需要用到一個fixdump的工具來填充剩余部分

即可修復(fù)，大小為4k，然后我們?nèi)ハM一下這張卡（讓你要修改的區(qū)域的數(shù)據(jù)改變）

其中前6個字節(jié)和后6個字節(jié)的FF FF FF FF FF FF即為秘鑰，中間的幾位FF 07 80 69即為控制位。

再次dump數(shù)據(jù)dumpfile2并修復(fù)

fixdump dumpfile2

就此，我們有了兩個樣本，然后做hex diff，linux下直接用diff，win下可以使用hexcmp2

diff后發(fā)現(xiàn)了數(shù)據(jù)變動的區(qū)域。

本文只修改簡單的金龍卡水卡功能，所以取樣兩次后就可以輕松找到數(shù)據(jù)所在的扇區(qū)，如果是做比較復(fù)雜的修改那么取樣可能得多次，比如做門禁攻擊啥的。

可以看到這個扇區(qū)內(nèi)的一些數(shù)值，末端的40，F(xiàn)F啥的都是存放數(shù)值的地址，我們不用管它，在M1 卡中本來要進(jìn)行一次的取反和倒序存入，但是可能本屌的渣學(xué)校的卡居然直接進(jìn)行16進(jìn)制換算為10進(jìn)制后就是水卡金額數(shù)目。。。

這里多說兩句，一般情況下，數(shù)據(jù)存入是倒序的，比如F9 FE，其實真實數(shù)據(jù)是FE F9，然后換算為2進(jìn)制進(jìn)行取反再換算為10進(jìn)制，有可能還會遇到數(shù)據(jù)的加密，我們再解密后就可以得到存入的數(shù)值了。

圖中是我成功修改了最大數(shù)值后的，金額為640.00元，hex為fa 00，做測試的時候筆者太高估了學(xué)校，多次猜測其換算的算法，取樣了20來次后腦洞開了，直接通過10進(jìn)制轉(zhuǎn)換16進(jìn)制。。。居然就是那么簡單！F9 FE為63998小數(shù)點請忽視。

然后使用libnfc來寫入數(shù)據(jù)

至此，破解差不多就那么完成了（單純指做數(shù)據(jù)修改的目的，不包括解決什么后患啊之類的情況）。

最后上一張成功改寫后的測試圖。

破解時長共3個小時（來回取樣浪費了不少時間）。

關(guān)于驗證漏洞攻擊，在前面科普的時候說過，每個扇區(qū)都有獨立的密碼，在通常情況下，有些存儲關(guān)鍵數(shù)據(jù)（比如飯卡里的錢）的扇區(qū)會更改密碼，比如，某張卡里的第4扇區(qū)存著錢，更改了默認(rèn)密碼，但是其他扇區(qū)并沒有更改默認(rèn)密碼，那么我們怎么通過其他扇區(qū)來操作第4扇區(qū)呢，這里就會用到驗證漏洞攻擊，也就是nested authentication 攻擊，通常會在我們知道16個扇區(qū)中任意一個扇區(qū)密碼來破解其他扇區(qū)的時候使用。

首先我們知道，M1卡的算法是個對等加密算法，讀卡器中也保存著同樣的密碼，也是用同樣的算法加密，當(dāng)卡和機(jī)器交互的時候，讀卡器首先驗證0扇區(qū)的密碼，卡給讀卡器以明文方式發(fā)送一個隨機(jī)序列a（明文），然后讀卡器通過跟加密，同時自己產(chǎn)生一個加密的隨機(jī)序列b(密文)返回，卡用自己的密碼解密之后，解密出來的序列如果是自己之前發(fā)送的a，則認(rèn)為正確，然后通過自己加密算法加密讀卡器生成的隨機(jī)序列發(fā)送給讀卡器，讀卡器解密之后，如果跟 自己之前發(fā)送的隨機(jī)數(shù)b相同，則認(rèn)為驗證通過，之后所有的數(shù)據(jù)都通過此算法加密傳輸。

在整個過程中，只有a是明文，之后的都是密文，card發(fā)送一個a給讀卡器之后，讀卡器用錯誤的密碼加密之后發(fā)送給card，card肯定解密錯誤，然后驗證中斷
但是，我們知道其他扇區(qū)的的密碼，驗證的時候，使用這個扇區(qū)驗證成功之后，后面所有的數(shù)據(jù)交互都是密文，讀其他扇區(qū)數(shù)據(jù)的時候，也是card首先發(fā)送隨機(jī)數(shù)a，這個a是個加密的數(shù)據(jù)，之前說的每個扇區(qū)的密碼是獨立的，那么加密實際上就是通過card這個扇區(qū)的密碼相關(guān)的算法加密的a，這個數(shù)據(jù)中就包含了這個扇區(qū)的密碼信息，所以我們才能 夠通過算法漏洞繼續(xù)分析出扇區(qū)的密碼是什么。

也就是因為這個原理，在驗證漏洞的時候才必須要知道至少一個其他扇區(qū)的密碼。

0x02 總結(jié)

對于才入坑的朋友來說，爆破是最簡單粗暴的辦法，交給程序自動化進(jìn)行即可（有可能接下來一篇或者下下一篇寫根據(jù)重放攻擊進(jìn)行破解的）。

其次，主要進(jìn)行的工作就是多次的取樣和反復(fù)diff，體力活加腦力活。

預(yù)告，等閑下來繼續(xù)研究一下mfoc的其他破解功能，比如重放之類的，或者完全破解校園卡的其他功能（因為是聯(lián)網(wǎng)的，所以目測得我順手拿下后勤系統(tǒng)吧）