RFID破解之小区电动车充电卡

炎炎夏日,很快发现每天骑车出去电动车电卡的消费惊人呀( ▼-▼ )…

环境及工具

Win xp pro sp3
M1卡破解工具
NFCGUI-Pro.exe
HexCmp.exe

先来看看我们的主角

起初刚办卡的时候,办卡阿姨说办一次卡充一次钱,不提供续充!果断不淡定了啊!用M1卡破解工具成功破解key,源数据dump下来一份。 之后就没管了,想着先用着,没有了再说!就在昨天充电的时候发现刷不上卡了,想着是没钱了,回来dump下数据发现真的是没钱了。

没办法,还要充电呢( ▼-▼ )。首先想到的是重放,这个最简单省事(不过也可能不成功)。还记得最初办卡时,dump下来的源数据吧,原封不动再写进卡里( ̄▽ ̄)"

上图中,10 27是十六进制显示的,还有数据的存放到卡里是倒序写入,所以正确的数据是0×2710即10000(十进制),再加上保留2位小数,那就是100.00正好是办卡时的钱数。中间的EF D8是校验位这个下面在修改任意金额时会分析。

写入工具用的是RadioWar出品的NFCGUI-Pro1.5

注意几点:

1.一定要选择Key B写入
2.两个文件都是选择的源dump的数据
3.看到最下面显示Done 64 of 64 blocks write.说明写入成功了

既然写入成功了,怀着激动的心情跑到刷卡机上测试,yeah,重放成功!( ̄▽ ̄)"

既然重放可以,那再来试试修改任意金额。想修改任意金额必须要搞定它的校验位,要想分析校验位就需要大量的数据来支持。下面是几组数据对比。

100块:

99.5块:

先搞定这两组数据,(外面实在是太热了37度~~~T_T)

上面的两组数据整理如下:

看到上面的数据是不是觉得这校验位弱爆了,可它就是这么弱~~~为了方便我总结出一个公式:

((65535-55535)/T)*0.5=100。

有了公式下面修改任意金额就方便多了,就先修改为500元吧。

然后就是C32修改数据,这就不截图了,很简单。

接着我们把修改好的数据包再写入到卡里,同样是用NFCGUI-Pro1.5

成功测试图:

总结

1 关于rfid的文章很多,特别是freebuf上有很多,想学习的可以多看看技术文章。‍‍
2‍‍ 说下校验位和金额位,有些卡中是要先异或然后取反,再倒序存入卡中。更有变态的是加密后存入。‍‍
3‍‍ ‍‍‍‍‍‍‍‍‍‍分析校验位是个细活要慢慢来急不得,记得上次分析某学校饭卡时,搞了几十组数据分析了一天也没搞定,最后, 还是晚上静下来才分析完成。

(本文仅供技术参考,测试风险自负!)

时间: 2024-10-10 11:04:33

RFID破解之小区电动车充电卡的相关文章

RFID安全之某学校水卡破解

如今网络上能找到RFID安全类的信息非常的少,原因我就不说了,大家也明白.大家如果要研究RFID安全可以去RadioWar或者Freebuf多看看相关的文章,我在后面也会放出一些相关的资料供大家下载研究,资料大多数是外语资料,所以说外语一定要学好! 这次案例的主角是某学校可怜的水卡(热水卡),先小小地上镜一下先. 用NFC手机上安装的MCT(Mifare Classic Tool)查看,水卡的确是Mifare Classic 1k类型的. 此次破解用到的工具有:电脑一台,ACR122U一台,带N

RFID安全之某学校水卡破解后记——不留后患

前不久把某学校的水卡顺利破解了(不了解事情经过的看上一篇文章),看似很顺利,但最近偶然发现一些细节问题,细心的话可能也有人留意到,卡中的数据除了两个值块保存余额之外,还存在其他的数据,虽说学校的热水系统不联网,但要是机器自带日志记录,把我卡记录下来那不就完蛋了?所以此次要斩草除根,免得引来无穷后患. 要掌握规矩,肯定要有多组数据对比,找同学借了两张正常未经修改的水卡进行读卡,结果分别如下. 纳闷的发现除了我的卡之外,其他卡的1扇区都是没有数据的.果断把自己卡的1扇区清空了,拿去饮水机测试,使用一

“RFID 破解三两事”讨论总结

昨晚睡了一晚上的火车,刚到家,还没有洗脸,看看文章的访问量及评论都太多,radiowar在我文章评论及他的那篇评论文章里,提到菜鸟,小白,以及我的文章内容错误,误导大家等,看了这些,我觉得不得不站出来澄清一下,我在想如果文章内容错误,那么文章就必须要删除,所以我仔细的看了我的文章,仍然没有发现大的问题. 我仔细看了radiowar的那篇评论文章,主要还是考虑问题的方向不一样,或者说radiowar没有仔细看我想表达的意思,本来想直接回复,最后回复内容太多,所以就整理成一篇文章进行回应一下: 1:

关于“RFID破解两三事”的一些事

1.最简单ID卡破解 文中提到的是最为之简单的部分,其识别是经过后台数据库进行匹配的,实际上几乎100%的大型环境下(包括文中所说的学校)也是无法做到完全与后台匹配的,或者简单来说那只是跟读卡器的交互而已!谈不上是数据库. 我们所知的HID等基于125kHz频率的低频卡,ID部分都是固化的(或者如本文所说的只读),但实际上并非完全如此,正如文中所说,大家可以购买相关的空白卡进行复制操作.实际上作者完全忽略了一个问题,所谓空白卡是有分别的,好像HID要复制就必须要使用T55X7类的卡,而T55X7

RFID安全之某学校饭卡破解

继上次水卡的成功破解,对学校的饭卡也有点想要研究的念头了.既然这样,打铁趁热马上开始动手,先拿出MCT测试一下卡类型和扇区情况先.(不了解相关工具和术语的去看看之前的水卡破解案例以及M1卡结构和破解探究) 按往常惯例先让主角上镜. 正面 背面 经MCT的检测,结果发现饭卡也是Mifare Classic 1k的卡. 饭卡检测结果 那既然是M1卡,依旧来尝试读一下扇区,看有没有存在默认密钥.读取之后发现,卡片除了0扇区都被加密了,看来安全性还不错.可惜M1卡被破解,全部扇区加密都能够XOR算出密钥

一次蜿蜒曲折的RFID破解之路

前言 早一段时间看到一篇看雪论坛关于逻辑嗅探破解接触式IC卡口令的文章,激起鄙人对rfid的兴趣.遂准备拿学校的卡一展身手. 0×00 前期准备 经过初步了解,学校的rfid卡片分为两种.校园卡采用MIFARE Classic 1K,澡卡采用Atmel T5557.之前看过无数M卡的破解文章,于是决定跳过此卡(后通过proxmark3成功破解)转向更为小众更具挑战的T5557卡. 通过阅读T5557的文档,淘宝了如下工具: ·T5557读卡模块(加USB转TTL) ·T5557白卡 ·USB 逻

RFID消费终端设备安全风险之某高卡破解剖析

之前我们发布了一篇名为"从现实中的案例关注RFID消费终端设备安全风险"的文章,当中提到了关于SAM所带来的一些真实案例.现在我们就接着说一下关于国内RFID黑产的一些案例,从而让大家更加清楚明白SAM的安全的重要性. 在接触RFID安全的时候,认识了一位在国内搞RFID黑产的朋友,从他手中我获得了一份所谓的"*高卡远程破解方法"的文档.所以基于文档的内容我写了这一篇破解过程的剖析. 以下为"**卡远程破解方法"原文以及过程剖析: 1.首先通过R

记一次M1卡破解过程——weigr的第一次博文

一次偶然原因,在网上看到关于一些Mifare Classic card卡的破解文章,发现成本不是很高,并且门槛也不太高(本人笨得很,没觉得低)觉得很有意思,准备入坑一波.正好我寝室有饭卡.洗澡卡和直饮卡,为啥不试一试呢,嘿嘿.说干就干! 于是乎就在网上各种收集资料,(本人懒得很,不想去图书馆查资料)首先我们得搞懂M1卡的内部结构是吧,不然无从下手啊,所以我们先从结构说起吧. 可能文章有点长,着急的话可以直接跳过前面三个点 1.M1卡的存储内部结构: M1卡分为16个扇区,每个扇区对应4块(块0-

RFID入门:Mifare1智能洗澡卡破解分析

科普前置知识: Mifare Classic card提供1k-4k的容量,我们经常见到的是Mifare Classic 1k(S50),也就是所谓的M1卡.M1卡有从0到15共16个扇区,并且每个扇区都有独立的密码,每个扇区配备了从0到3共4个段,每个段可以保存16字节的内容,反正从0开始数 就对了(和数组下标为0开始一样). 每张M1卡都有一个全球唯一的UID号,这个UID号保存在卡的00扇区的00段,也称为厂商段,其中前4个字节是卡的UID,第5个字节是卡UID的校验位,剩下的是厂商数据.