您的足迹:首页 > 社团动态 >(原创)校园卡破解系列之权限克隆[pm3破解饭卡][pm3克隆数据][校园卡克隆][IC卡克隆]
  • 社团XSS平台 xss.klmyssn.com
  • 全国青少年信息技术社团联盟 lm.klmyssn.com
  • 全国中学生CTF论坛 bbs.klmyssn.com
  • 全国中学生CTF平台 ctf.klmyssn.com
  • (原创)校园卡破解系列之权限克隆[pm3破解饭卡][pm3克隆数据][校园卡克隆][IC卡克隆]

    注意,本文主张交流与科研学习,请勿对文中提及的内容进行恶意使用!本社团及作者对读者的之后的行为不承担任何法律责任。

    此文章是综合之前饭卡复制提升权限漏洞之后的合并版本,这篇文章后半部分是讲饭卡的。如果看过之前的文章,请直接下翻到第二篇文章。


    (一)饭卡权限提升

    社团网站之前发布过一篇文章讲入侵食堂系统的,里面对饭卡的破解没有多提及,而是采取的内网入侵思路,当时文章结尾我们承诺了期中考试完社长发布破解学校饭卡文章,所以这就来了!这篇文章主要来介绍IC卡的安全漏洞之一的复制漏洞,因为之前一直有微机老师的开启机房的卡,她的卡的权限是最多也最高的,可以开启学校所有门禁,貌似卡的数量有限,找的坑爹的移动做的(为啥坑文章最后讲),每次借一次还一次好麻烦,我就想把她的卡的权限复制到我的卡上面,这样就方便许多~~

    用到的工具:PM3Easy3.0

    参数说明:(低频天线右侧安装时)

    # LF antenna: 29.84 V @ 125.00 kHz

    # LF antenna: 32.31V @ 134.00 kHz

    # HF antenna: 28.43V @ 13.56 MHz(低频天线左侧安装时)

    # LF antenna: 43.86 V @ 125.00 kHz

    # LF antenna: 24.48 V @ 134.00 kHz

    # HF antenna: 25.13 V @ 13.56 MHz

    点击查看原图

    工作电压:3.5-5.5V    工作电流:50-130mA   长宽尺寸:54mm*86.6mm


    尺寸:6.2mm薄) 9.8mm螺丝) 15.8低频天线

    出厂固件版本:2.0.0



    测试的对象:克拉玛依市高级中学学生卡

    点击查看原图



    类型

    频率

    特性

    Mifare S50(简M1)

    高频

    最常的卡,每张独一无无UID号,可存

    储修改数(学生饭卡公交卡门禁

    Mifare UltraLight(简M0)

    高频

    低成本卡,出厂固UID,可存储修改数据

    (地铁卡,公交卡)

    MifareUID(Chinesemagiccard)

    (简UID卡)

    高频

    M1卡的异版本,UID,国叫做中国

    魔术卡,可以用来完整克M1 S50的数据

    EM4XX(简ID卡)

    低频

    常用固ID卡,出厂固ID,只能读不能写

    (低成本门禁卡区门禁卡停车场门禁卡)

    T5577(简称可修ID卡)

    低频

    可用来克ID出厂为空卡内有扇区也可

    存数据,个别扇区可设置密码。

    HID Prox II(简HID)

    低频

    美国常用的低频卡,可擦写,不与其他卡通用



    卡片安全性测试(是否可以被复制)

    总体流程

    先读卡判断卡片类型,是 ID 卡还是 IC 卡。

    注意,卡片外形和型号无关,相同的芯片可以封装成完全不同的外形:

    ID 卡:读卡片 ID →换上 T5577 →把 ID 号写入卡片→完成

    IC 卡:漏洞解密→读全卡数据→换上 UID →把数据写入卡片→完成

    IC 卡思路:

    1.获得任意扇区的密匙(以下任一都可以)

    a.PRNG 漏洞攻击得 0 扇区密匙

    b.默认密码扫描获得密匙

    c.嗅探读卡机和卡片交互数据获得密匙

    d.模拟成 M1 卡刷卡后捕获密匙(挑读卡机,兼容性不好) 

    2.利用 MFOC 漏洞,用已知扇区密匙求所有扇区密匙

    3.用破解出的密匙把卡片数据读出导入电脑

    4.放上 UID 空卡,把电脑中的数据写入卡中


    开车~~


    1.通过之前nfc在手机的检测判断学校卡是M1卡,直接把卡片放在PM3上,软件用的Proxmark3.EASY,先把需要的驱动安装,打开软件看到状态显示已连接

    点击查看原图



    2.再放入卡片在PM3低频卡读取区, 选择一键自动解析,软件此时就自动进行PRNG破解操作,找到密钥:D743726E1C***.


    点击查看原图


    3. 再选择导出数据


    点击查看原图


    4.打开C32asm读取刚刚导出的数据,可以看到卡里的信息,有老师的姓名,手机号,随后我又试了下学生卡,里面有我们的学号和名字,饭卡金额是10进制转换的16进制的,由于我饭卡就没用过,金额0,不好找,明天再拿同学的测试下找金额


    点击查看原图


    老师的卡。。。。。。。。。。


    点击查看原图


    5.拿了一张空白UID卡,放在PM3上,把刚刚老师的数据导入,然后选择克隆,最后更改UID号和老师UID一样。这样就大功告成了。




    点击查看原图



    跑去机房实验:


    点击查看原图点击查看原图




    嘿嘿嘿,成功~最后经过测试,复制的权限可以打开全校所有门禁系统,最高权限。


    结尾:最后跑去微机办公室和老师说了下,才知道,坑爹的移动这种卡给我学校一张卖十几块钱,然后我这个UID白卡其实在淘宝都是0.25的价格,几毛钱,心塞,学校用了这个卡四年了,今年也打算换掉了,老师说如果不换就找我们搞定每年新生卡数据。。。不知道该说啥。就这样吧,明天去试试改金额,但是已经知道食堂系统联网的,所以估计得一波内网渗透了。


                         本文章著作权属于十三年所有,不得任何个人或组织在未被允许的情况下转载。
















    相关推荐

  • 社团XSS平台 xss.klmyssn.com
  • 全国青少年信息技术社团联盟 lm.klmyssn.com
  • 全国中学生CTF论坛 bbs.klmyssn.com
  • 全国中学生CTF平台 ctf.klmyssn.com
  • 社团群号 487202411 广告位招租~

    发表评论

    路人甲 表情
    Ctrl+Enter快速提交

    网友评论(6)

    能加我一下好友吗????一起交流一下
    姬小超 2年前 (2017-04-18) 回复
    @姬小超:你qq搜索不到  社长qq 1135891330
    ssnhy13 2年前 (2017-04-21) 回复
    坐等内网渗透!
    小十三 2年前 (2016-12-07) 回复
    不错
    小白 2年前 (2016-11-18) 回复
    前排留名,很赞。期待你的内网渗透。
    洪学林 2年前 (2016-11-08) 回复
    我用nfc复制的饭卡。然后测出学校食堂存在逻辑型漏洞。
    傀儡 2年前 (2016-11-08) 回复