Proxmark3系列教程1——PM3⽤法
相关⽂章
1 PM3介绍
proxmark3是⼀款开源的RFID安全研究平台⿊⾊按钮从图中我们可以看到左上⽅有⼀颗⿊⾊按钮,这个按钮就是Proxmark3的功能键,主要⽤于启动嗅探模式以及停⽌进程功能,其中内置⾼频和低频天线,能够识别和读取⼤部分的RFID卡⽚,并且国产的PM3还可以通过转接头等⼯具和⼿机等智能设备进⾏连接,从⽽实现跨平台的使⽤。 2 RFID破解
前⾯对ID与IC之间的差别进⾏⽐较时得知,ID卡内的卡号读取⽆任何权限,易于仿制.IC卡内所记录数据的读取,写⼊均需相应的密码认证,甚⾄卡⽚内每个区均有不同的密码保护,全⾯保护数据安全。所以这⾥对于RFID卡⽚的破解主要⽬标就是IC卡。 这⾥我们使⽤典型的飞利浦公司的16扇区64扇块M1卡作为实验对象,⾸先看⼀下这种卡⽚内部的数据存储形式。
常⽤的M1卡主要有荷兰恩智浦(NXP)公司⽣产的S50 和S70,都是属于MifareClassic家族的。以S50为例,国内兼容的最好的⼚家是上海复旦微电⼦⽣产的FM11RF08芯⽚,区别是NXP原装S50芯⽚的前15个扇区的密码块的控制位是:FF078069,最后1个扇区的密码快的控制位是:FF0780BC。
国产复旦FM11RF08芯⽚的所有扇区的所有控制位均为:FF078069,其次看芯⽚第0扇区第0块的代码,从第10位开始看,如果后⾯是08040062636就是复旦的芯⽚,如果后⾯是08040023569就是贝岭芯⽚。
MifareClassic 1k共有16个扇区,分别为0-15个扇区;每个扇区有4块,分别为0-3块,每个块有32个字符;0扇区的0块为只读块,只存储⼚商代码和UID号。
其他每个扇区的前3块为数据库,最后⼀块为密码块。密码块的前12个字符为A区密码,中间8个字符为控制位,后⾯12个字符为B区密码。
控制位主要是读卡器在验证卡的时候所⽤到的,不同的控制位表⽰不同的验证⽅式。
结合上图,我们可以来计算⼀下MifareClassic 1K的真实容量,⾸先1扇区的0块为只读,所有扇区的3块都是固定的没有容量,那么真实容量就是:
32(每个块的容量)×3(每个扇区可写的块)×16(共16个扇区)-32(除去0扇区0块)=1504字节
1504字节⽐1k多出了480个字节,所以MifareClassic 1K 的真实容量将近1.5K
默认⼝令破解
IC卡在制造时制造⼚商为了⽅便会将除0扇区之外的扇区的所有密码默认设置为FFFFFFFFFFFF,这就是IC卡⽚的默认密码,我们可以使⽤PM3对卡⽚的默认密码进⾏爆破。
m1卡早期的PM3要把⾼频天线连接到Proxmark3的天线接⼝,并且连接完成之后要查看⼀下天线与PM3连接之后的⼯作电压是否正常;国产的PM3⼯具在设计时就将⾼频天线和低频天线安装到⼀起,在使⽤时只需要实⽤⼯具对其电压等进⾏探测是否正常。由于PM3是⼀款开源的硬件产品,最早在2000左右就已经开始有⼈开始对其进⾏研究,所以现在相对的技术已经⾮常成熟,在外⽂资料中经常会看到⼀个PM3对应的利⽤⼯具,这个⼯具分为两种,⼀种是命令⾏下的利⽤⼯具,另外⼀种是英⽂的可视化图形界⾯。
但是这两款软件都有其对应的缺陷,在经过国⼈的⼆次开发之后推出了PM3 GUI版的利⽤⼯具。
软件中继承了绝⼤多数常见的软件,能够对RFID进⾏快速攻击。
⾸先使⽤数据线将PM3与电脑连接,并在设备管理器中查相对应的串⼝。
连接成功后检测⼯作电压
将IC卡放置在⾼频卡读卡器位置,天线电压发⽣变化
⾼频天线电压下降⾮常明显,这就说明我们现在所持有的卡⽚为⾼频IC卡,下⾯尝试对器破解,⾸先先读取卡⽚类型。
什么是proprietary non-iso14443a card found,RATS not supported?
有时候Proxmark3在读取部分MIFARE Classic卡UID的信息时,因为⽆法得到RATS的返回信息,会判断为⾮ISO14443a标准的卡.国内有太多MIFARE Classic类的卡,并不是NXP出产的,所以Proxmark3就会出现了这样⼦的提⽰!
同时还会提⽰是否是中国后门卡,这也是因为IC可修改UID的卡⽚是中国⼈⾸先研究出来的,所以被统称为中国后门卡。后⾯我们会有详细的介绍。
通常当我们拿到相关的卡的时候,我们应该先⽤chk命令去检测⼀下测试卡是否存在出⼚时遗留的默认Key,因为使⽤默认的Key导致恶意⽤户可以使⽤其进⾏卡的信息读取以及修改。
已知的部分默认Key列表
nffffffffffff
nb0b1b2b3b4b5
n000000000000
na0a1a2a3a4a5
naabbccddeeff
n714c5c886e97
na0478cc39091
PM3程序中内置了⼀个默认密码列表,并会⾃动阐释使⽤者以列表中的密码进⾏探测。
并且通过默认密码扫描功能成功读取了除1扇区和2扇区的⼭区密码
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议