之前一直想要玩無線安全,旺財大牛說門檻低(哪里低啦=。=web狗表示我很笨啊,汪汪),于是乎入手了ACR122u,想從NFC開始入坑,就有了這篇文章,先普及下基本知識。
Mifare Classic card提供1k-4k的容量,我們經常見到的是Mifare Classic 1k(S50),也就是所謂的M1卡。M1卡有從0到15共16個扇區,并且每個扇區都有獨立的密碼,每個扇區配備了從0到3共4個段,每個段可以保存16字節的內容,反正從0開始數 就對了(和數組下標為0開始一樣)。
每個扇區的第4段呢是用來保存KeyA,KeyB和控制位的,每張卡還有一個唯一標識的UID號,具體的卡結構大家可以百度一下看看。
我們本文的研究對象就是這玩意兒,谷歌告訴我們,這種卡類的攻擊方式大概分為這么幾種:
爆破對于M1卡的破解來說比較有效,因為M1卡是被動卡,需要讀卡器來供能,切斷供能后卡的臨時數據就丟失了,也就是說不會存在輸入過多錯誤密碼后造成的鎖死之類的情況 FFFFFFFFFFFF、A0B0C0D0E0F0等等都是M1白卡的默認密碼,所以當我們使用mfoc這樣的工具來爆破的時候基本上都是用這些默認密碼來填充剩余扇區的密碼。
剛剛我們說了M1卡是被動卡,當它被供能的時候會產生隨機數列,切斷供能后數據不會保存,再次供能又會產生一模一樣的數列,然后就可以控制切斷,再次供能的時間計算出這個數列,進行重放攻擊來達到修改數據的目的。
M1卡的扇區可以保存數據,所以大部分的卡片會選擇加密扇區后保存數據,我們可以用 uid卡來進行復制,每張M1卡在0扇區第1段都有一個唯一標識,而且是保護無法修改的,uid 卡就是沒有設定0扇區保護的卡,所以你可以隨意的修改你想要的uid,這樣我們就可以克隆出一張連uid都相同的卡片了。(但是要注意不要把00扇區弄 壞,之前測試的時候就未知原因寫壞了00扇區無法讀入了)。
這里要用到PM3這個神器,在卡和機器數據交換的時候嗅探數據,進行攻擊,利用XOR算key工具就可以把扇區的密鑰計算出來(窮逼表示根本買不起)。
科普結束,接下來以一個實例來講解以下破解M1卡的姿勢(筆者才開始入坑,如有不對,請大牛斧正)。
關于暴力破解,我們此處用到這么幾個東西,ACR122u,mfoc,libnfc。
其中ACR122u作為硬件供能,讀寫的作用,mfoc用來爆破,libnfc用來寫入數據。
可以看到讀出了我們的卡類型,下方的keyA keyB就是要我們破解的地方,當然,也可以使用另外一個簡化版本,更粗暴簡單一些,百度M1卡服務程序即可。
稍等片刻后就發現上下各16個勾勾都打上了,說明成功爆破了,成功后會在當前目錄下生成一個dump文件,這樣,這張卡的數據就被完全dump下來了,得到dumpfile1但是只有1k的大小,在win下操作的時候需要用到一個fixdump的工具來填充剩余部分
fixdump dumpfile1
即可修復,大小為4k,然后我們去消費一下這張卡(讓你要修改的區域的數據改變)
其中前6個字節和后6個字節的FF FF FF FF FF FF即為秘鑰,中間的幾位FF 07 80 69即為控制位。
再次dump數據dumpfile2并修復
fixdump dumpfile2
就此,我們有了兩個樣本,然后做hex diff,linux下直接用diff,win下可以使用hexcmp2
diff后發現了數據變動的區域。
本文只修改簡單的金龍卡水卡功能,所以取樣兩次后就可以輕松找到數據所在的扇區,如果是做比較復雜的修改那么取樣可能得多次,比如做門禁攻擊啥的。
可以看到這個扇區內的一些數值,末端的40,FF啥的都是存放數值的地址,我們不用管它,在M1 卡中本來要進行一次的取反和倒序存入,但是可能本屌的渣學校的卡居然直接進行16進制換算為10進制后就是水卡金額數目。。。
這里多說兩句,一般情況下,數據存入是倒序的,比如F9 FE,其實真實數據是FE F9,然后換算為2進制進行取反再換算為10進制,有可能還會遇到數據的加密,我們再解密后就可以得到存入的數值了。
圖中是我成功修改了最大數值后的,金額為640.00元,hex為fa 00,做測試的時候筆者太高估了學校,多次猜測其換算的算法,取樣了20來次后腦洞開了,直接通過10進制轉換16進制。。。居然就是那么簡單!F9 FE為63998小數點請忽視。
然后使用libnfc來寫入數據
.
fc-mfclassic.exe w b dumpfile_new dumpfile_old
至此,破解差不多就那么完成了(單純指做數據修改的目的,不包括解決什么后患啊之類的情況)。
最后上一張成功改寫后的測試圖。
破解時長共3個小時(來回取樣浪費了不少時間)。
關于驗證漏洞攻擊,在前面科普的時候說過,每個扇區都有獨立的密碼,在通常情況下,有些存儲關鍵數據(比如飯卡里的錢)的扇區會更改密碼,比如,某張卡里的第4扇區存著錢,更改了默認密碼,但是其他扇區并沒有更改默認密碼,那么我們怎么通過其他扇區來操作第4扇區呢,這里就會用到驗證漏洞攻擊,也就是nested authentication 攻擊,通常會在我們知道16個扇區中任意一個扇區密碼來破解其他扇區的時候使用。
首先我們知道,M1卡的算法是個對等加密算法,讀卡器中也保存著同樣的密碼,也是用同樣的算法加密,當卡和機器交互的時候,讀卡器首先驗證0扇區的密碼,卡給讀卡器以明文方式發送一個隨機序列a(明文),然后讀卡器通過跟加密,同時自己產生一個加密的隨機序列b(密文)返回,卡用自己的密碼解密之后,解密出來的序列如果是自己之前發送的a,則認為正確,然后通過自己加密算法加密讀卡器生成的隨機序列發送給讀卡器,讀卡器解密之后,如果跟 自己之前發送的隨機數b相同,則認為驗證通過,之后所有的數據都通過此算法加密傳輸。
在整個過程中,只有a是明文,之后的都是密文,card發送一個a給讀卡器之后,讀卡器用錯誤的密碼加密之后發送給card,card肯定解密錯誤,然后驗證中斷 但是,我們知道其他扇區的的密碼,驗證的時候,使用這個扇區驗證成功之后,后面所有的數據交互都是密文,讀其他扇區數據的時候,也是card首先發送隨機數a,這個a是個加密的數據,之前說的每個扇區的密碼是獨立的,那么加密實際上就是通過card這個扇區的密碼相關的算法加密的a,這個數據中就包含了這個扇區的密碼信息,所以我們才能 夠通過算法漏洞繼續分析出扇區的密碼是什么。
也就是因為這個原理,在驗證漏洞的時候才必須要知道至少一個其他扇區的密碼。
對于才入坑的朋友來說,爆破是最簡單粗暴的辦法,交給程序自動化進行即可(有可能接下來一篇或者下下一篇寫根據重放攻擊進行破解的)。
其次,主要進行的工作就是多次的取樣和反復diff,體力活加腦力活。
預告,等閑下來繼續研究一下mfoc的其他破解功能,比如重放之類的,或者完全破解校園卡的其他功能(因為是聯網的,所以目測得我順手拿下后勤系統吧)