注意，本文主张交流与科研学习，请勿对文中提及的内容进行恶意使用！本社团及作者对读者的之后的行为不承担任何法律责任。

此文章是综合之前饭卡复制提升权限漏洞之后的合并版本，这篇文章后半部分是讲饭卡的。如果看过之前的文章，请直接下翻到第二篇文章。

（一）饭卡权限提升

社团网站之前发布过一篇文章讲入侵食堂系统的，里面对饭卡的破解没有多提及，而是采取的内网入侵思路，当时文章结尾我们承诺了期中考试完社长发布破解学校饭卡文章，所以这就来了！这篇文章主要来介绍IC卡的安全漏洞之一的复制漏洞，因为之前一直有微机老师的开启机房的卡，她的卡的权限是最多也最高的，可以开启学校所有门禁，貌似卡的数量有限，找的坑爹的移动做的(为啥坑文章最后讲)，每次借一次还一次好麻烦，我就想把她的卡的权限复制到我的卡上面，这样就方便许多~~

用到的工具:PM3Easy3.0

参数说明：(低频天线右侧安装时）

# LF antenna: 29.84 V @ 125.00 kHz

# LF antenna: 32.31V @ 134.00 kHz

# HF antenna: 28.43V @ 13.56 MHz(低频天线左侧安装时)

# LF antenna: 43.86 V @ 125.00 kHz

# LF antenna: 24.48 V @ 134.00 kHz

# HF antenna: 25.13 V @ 13.56 MHz

工作电压：3.5-5.5V    工作电流：50-130mA   长宽尺寸：54mm*86.6mm

厚度尺寸：6.2mm（最薄） 9.8mm（加螺丝） 15.8（加低频天线）

出厂固件版本：2.0.0

测试的对象:克拉玛依市高级中学学生卡

卡片安全性测试（是否可以被复制）

总体流程

先读卡判断卡片类型，是 ID 卡还是 IC 卡。

注意，卡片外形和型号无关，相同的芯片可以封装成完全不同的外形：

ID 卡：读卡片 ID 号→换上 T5577 卡→把 ID 号写入卡片→完成

IC 卡：漏洞解密→读全卡数据→换上 UID 卡→把数据写入卡片→完成

IC 卡思路：

1.获得任意扇区的密匙（以下任一都可以）

a.PRNG 漏洞攻击得 0 扇区密匙

b.默认密码扫描获得密匙

c.嗅探读卡机和卡片交互数据获得密匙

d.模拟成 M1 卡刷卡后捕获密匙（挑读卡机，兼容性不好） 

2.利用 MFOC 漏洞，用已知扇区密匙求所有扇区密匙

3.用破解出的密匙把卡片数据读出导入电脑

4.放上 UID 空卡，把电脑中的数据写入卡中

开车~~

1.通过之前nfc在手机的检测判断学校卡是M1卡，直接把卡片放在PM3上，软件用的Proxmark3.EASY,先把需要的驱动安装，打开软件看到状态显示已连接

2.再放入卡片在PM3低频卡读取区， 选择一键自动解析，软件此时就自动进行PRNG破解操作，找到密钥：D743726E1C***.

3. 再选择导出数据

4.打开C32asm读取刚刚导出的数据，可以看到卡里的信息，有老师的姓名，手机号，随后我又试了下学生卡，里面有我们的学号和名字，饭卡金额是10进制转换的16进制的，由于我饭卡就没用过，金额0，不好找，明天再拿同学的测试下找金额

老师的卡。。。。。。。。。。

5.拿了一张空白UID卡，放在PM3上，把刚刚老师的数据导入，然后选择克隆，最后更改UID号和老师UID一样。这样就大功告成了。

跑去机房实验：

嘿嘿嘿，成功~最后经过测试，复制的权限可以打开全校所有门禁系统，最高权限。

结尾：最后跑去微机办公室和老师说了下，才知道，坑爹的移动这种卡给我学校一张卖十几块钱，然后我这个UID白卡其实在淘宝都是0.25的价格，几毛钱，心塞，学校用了这个卡四年了，今年也打算换掉了，老师说如果不换就找我们搞定每年新生卡数据。。。不知道该说啥。就这样吧，明天去试试改金额，但是已经知道食堂系统联网的，所以估计得一波内网渗透了。

                     本文章著作权属于十三年所有，不得任何个人或组织在未被允许的情况下转载。