破解NFC卡

目錄

• 概念
  • 各類卡
• IC卡存儲器結構
• 破解工具

破解NFC卡

概念

各類卡

ID卡 工做在低頻（125Khz）

ID卡	特色
EM4XX系列，多爲EM4100/EM4102卡	經常使用的固化ID卡，出廠固化ID，只能讀不能寫；經常使用於低成本門禁卡，小區門禁卡，停車場門禁卡
ID白卡：EM4305或T5577	可用來克隆ID卡，出廠爲白卡，內部EEPROM可讀可寫，修改卡內EEPROM的內容便可修改卡片對外的ID號，達到複製普通ID卡的目的； T5577寫入ID號能夠變身成爲ID卡，寫入HID號能夠變身HID卡，寫入Indala卡號，能夠變身Indala卡
HID ProxⅡ	美國經常使用的低頻卡，可擦寫，不與其餘卡通用

IC卡

IC卡	特色
M1卡全稱Mifare S50，	是最多見的卡，出廠固化UID（UID即指卡號，全球惟一），可存儲修改數據；經常使用於學生卡，飯卡，公交卡，門禁卡；
M0卡全稱Mifare UltraLight，	至關於M1卡的精簡版，容量更小、功能更少，但價格更低，出廠固化UID，可存儲修改數據；經常使用於地鐵卡，公交卡；
UID卡 全稱Mifare UID Chinese magic card	，國外叫作中國魔術卡，M1卡的變異版本，使用後門指令(magic指令)，可修改UID（UID在block0分區），能夠用來完整克隆M1卡的數據； 可是如今新的讀卡系統經過檢測卡片對後門指令的迴應，能夠檢測出UID卡，所以能夠來拒絕UID卡的訪問，來達到屏蔽複製卡的功能（即UID防火牆系統）；
CUID卡	爲了避開UID防火牆系統，CUID卡應運而生，取消響應後門指令(magic指令)，可修改UID，是目前市場上最經常使用的複製卡； 近兩年，智能卡系統製造公司，根據CUID卡的特性研發出CUID卡防火牆，雖然如今（2019年）還不是很普及，可是總有一天CUID卡會和UID卡同樣面臨着淘汰
FUID卡	FUID卡只能寫一次UID，寫完以後自動固化UID所在分區，就等同M1卡，目前任何防火牆系統都沒法屏蔽，複製的卡幾乎和原卡如出一轍； 但缺點也相對明顯，價格高、寫壞卡率高，寫錯就廢卡。
UFUID卡	集UID卡和FUID卡的優勢於一身，使用後門指令，可修改UID，再手動鎖卡，變成M1卡。 可先反覆讀寫UID，確認數據無誤，手動鎖卡變成M1，解決了UID卡的UID防火牆屏蔽，也解決FUID的一次性寫入容易寫錯的問題，且價格比FUID卡還便宜；

判斷是M0卡(Mifare UltraLight)，仍是M1卡(Mifare Classic 1k)，能夠經過SAK值判斷。

IC卡存儲器結構

ref: https://hceng.cn/2019/07/12/NFC%E6%89%8B%E6%9C%BA%E6%A8%A1%E6%8B%9F%E5%8A%A0%E5%AF%86%E9%97%A8%E7%A6%81%E5%8D%A1/

破解工具

手機模擬

工具
APP NFC卡模擬	已root。 讀取加密卡的UID和非加密數據、並寫UID到手機NFC裏
小米系統自帶的門卡模擬功能	未root。不能對加密卡進行任何操做
第三方軟件MifareClassicTool	讀取UID，由於沒有root，不能寫手機NFC，但能夠寫IC卡，所以還須要一張CUID卡(不能使用UID卡)，某寶上一塊多一張，思路就是先讀取加密卡的UID，再讀取CUID卡的數據，而後將CUID卡的UID改成加密卡同樣的UID，再將修改後的數據寫回到CUID卡，最後用小米系統自帶的門卡模擬功能，複製未加密的CUID卡便可看運氣吧，我小區的門禁系統就只認UID，搞定
Proxmark3解密門禁卡	https://hceng.cn/2019/07/12/NFC%E6%89%8B%E6%9C%BA%E6%A8%A1%E6%8B%9F%E5%8A%A0%E5%AF%86%E9%97%A8%E7%A6%81%E5%8D%A1/
用Proxmark3 + 小米手機自帶的門卡模擬	複製非加密卡的UID --》 用Proxmark3寫入加密區域

ref： https://hceng.cn/2019/07/12/NFC%E6%89%8B%E6%9C%BA%E6%A8%A1%E6%8B%9F%E5%8A%A0%E5%AF%86%E9%97%A8%E7%A6%81%E5%8D%A1/