（原创）校园卡破解系列之权限克隆 [pm3 破解饭卡][pm3 克隆数据][校园卡克隆][IC 卡克隆]

一、免责声明

• 本文主张交流与科研学习，请勿对文中提及的内容进行恶意使用！

• 本社团及作者对读者后续的行为不承担任何法律责任。

• 此文章是综合之前饭卡复制、权限提升漏洞后的合并版本，后半部分聚焦饭卡破解；若看过之前文章，可直接跳转至 “（一）饭卡权限提升” 章节。

二、基础准备：工具与测试对象

1. 核心工具：PM3 Easy 3.0

1.1 工具参数说明

1.2 工具硬件规格

• 工作电压：3.5-5.5V

• 工作电流：50-130mA

• 长宽尺寸：54mm×86.6mm

• 厚度尺寸：6.2mm（最薄）、9.8mm（加螺丝）、15.8mm（加低频天线）

• 出厂固件版本：2.0.0

1.3 工具外观

**

2. 测试对象：克拉玛依市高级中学学生卡

• 卡片类型：Mifare S50（简称 M1 卡，高频卡）

• 卡片外观：

三、核心知识：常见 IC/ID 卡类型与特性

四、卡片安全性测试：克隆可行性与流程

1. 总体判断逻辑

先通过读卡判断卡片类型（ID 卡 / IC 卡），卡片外形与芯片型号无关，相同芯片可封装为不同外形。

2. 不同类型卡片克隆流程

2.1 ID 卡克隆流程

1. 读取原卡 ID 号；

1. 更换 T5577 空卡；

1. 将原卡 ID 号写入 T5577 卡；

1. 克隆完成。

2.2 IC 卡克隆流程（核心：M1 卡为例）

1. 获取密钥（任一方式即可）：

• a. 利用 PRNG 漏洞攻击获取 0 扇区密钥；

• b. 扫描默认密码获取密钥；

• c. 嗅探读卡机与卡片交互数据获取密钥；

• d. 模拟 M1 卡刷卡后捕获密钥（兼容性较差，需挑读卡机）。

1. 利用 MFOC 漏洞，通过已知扇区密钥破解所有扇区密钥；

1. 用破解密钥读取全卡数据并导入电脑；

1. 更换 UID 空卡，将电脑中的数据写入 UID 卡；

1. 克隆完成。

五、实战操作：PM3 克隆教师卡权限（M1 卡）

1. 步骤 1：设备连接与卡片类型确认

• 提前安装 PM3 驱动，打开 Proxmark3.EASY 软件，确认设备显示 “已连接”；

• 通过 NFC 手机初步判断学校卡为 M1 卡，将卡片放在 PM3 读取区；

2. 步骤 2：PRNG 漏洞破解，获取密钥

• 将卡片放入 PM3 低频卡读取区，选择 “一键自动解析”，软件自动执行 PRNG 破解，获取密钥（示例：D743726E1C***）；

3. 步骤 3：导出卡片数据

• 破解完成后，选择 “导出数据”，将全卡数据保存至本地；

4. 步骤 4：解析卡片数据（C32asm 工具）

• 用 C32asm 打开导出的数据文件，可读取卡片内敏感信息：

• 教师卡：姓名、手机号；

• 学生卡：学号、姓名；

• 饭卡金额：10 进制转 16 进制存储（示例：金额 0 时数据对应为空）；

5. 步骤 5：写入 UID 卡，完成克隆

• 放置空白 UID 卡到 PM3 读取区，导入教师卡数据，选择 “克隆” 并修改 UID 号与原教师卡一致；

6. 步骤 6：权限验证（机房门禁测试）

• 用克隆卡测试学校门禁系统，成功打开全校所有门禁，验证最高权限克隆成功；

六、后续与补充说明

1. 卡片成本对比

• 学校采购的移动定制卡：10 余元 / 张；

• 淘宝 UID 空白卡：0.25 元 / 张，成本极低。

2. 学校后续计划

• 学校使用该类型卡片已 4 年，计划更换新卡；

• 若不更换，将委托社团处理每年新生卡数据。

3. 后续渗透方向

• 饭卡金额修改：因食堂系统联网，需通过内网渗透进一步实现，后续将展开测试。

4. 版权声明

本文章著作权属于十三年所有，任何个人或组织在未获允许的情况下，不得转载。