RFID HacKing频射硬件入门

本文《RFID HacKing频射硬件入门》 由ChaMd5安全团队原创投稿安全脉搏，作者为核心成员MAX丶,安全脉搏发表本文，如需要转载，请先联系安全脉搏授权；未经授权请勿转载。

 鉴于硬件安全对于大多数新人是较少接触的，而这方面又非常吸引我，但是部分专业安全研究设备较贵贵贵！！的价格使人望而却步，还是咱还是买了一个比较便宜而且实用的NFC设备。接下来给你们看看最流行的读卡器ACR122

不过有资金的小伙伴记住建议还是买ProxMark3 这才是神器！！！

PorxMark3这个咱没有买，主要是看过一些文章，说错了什么勿喷，指正我就好了！

下面我们来看看那些M1卡片和ID等卡片的区别 

IC卡、ID卡、M1卡、CPU卡的区别是什么？相信很多客户也有同样的疑惑，下面就让我们来搞清楚IC卡、ID卡、M1卡、CPU卡的区别。

如果要想实现一卡通功能，消费系统功能，IC卡是最佳选择，IC卡又称集成电路卡，通常是在塑料卡片内嵌入一个或多个集成电路构成的PVC卡。集成电路芯片可以是存储器或微处理器。带有存储器的IC卡又称为记忆卡或存储卡，带有微处理器的IC卡又称为智能卡或智慧卡。记忆卡可以存储大量信息；智能卡则不仅具有记忆能力，而且还具有处理信息的功能。IC卡可以十分方便地存汽车费、电话费、地铁乘车费、食堂就餐费、公路付费以及购物旅游、贸易服务等。

ID卡又叫身份识别卡，是一种不可写入的感应式卡，拥有一个固定卡号编号.卡号在封卡前写入后不可再更改，绝对确保卡号的唯一性和安全性.ID卡可以作为一般的门禁或停车场系统的使用者身份识别，因ID卡无密钥安全认证机制，且不能写卡，很难实现一卡通功能，同时也不合适做消费系统。

与IC卡功能差不多的另一种卡叫M1卡，M1是菲利浦下属子公司恩智浦出品的芯片缩写，目前该公司的M1芯片与国产芯片相兼容，其实M1卡也属于非接触式IC卡。M1卡，优点是可读可写的多功能卡，缺点是：价格稍贵，感应距离短，适合非定额消费系统、停车场系统、门禁考勤系统等。

我们的ACR122读卡器只能简单的读取M1卡片对于那些ID CUP等一些卡片很难读取出来有效的数据信息。这时候我们就需要Proxmark3这款硬件进行破解。

我们先安装我们的ACR122的驱动

官网驱动地址：

http://www.acs.com.hk/cn/products/73/acr122u-nfc%E8%AF%BB%E5%86%99%E5%99%A8%EF%BC%88usb%E6%8E%A5%E5%8F%A3%EF%BC%89/

Win10系统安装好驱动插入设备成功显示而且灯是红色的：

拿我学校饭卡做讲解【饭卡带后台保护别瞎搞】

放上卡片灯是黄色的。表示准备读取你们的信息。

这是两款可视化控制工具一个是民间的一个是官方的

【我个人喜欢民间版的东西够全面】

这次我拿官方版来讲解 读取很简单直接点击破解就好了

不过破解非常慢  破解时候指示灯是红色的

我们可以通过我们民间版的转为4KB 这样可以更好让我们来对比里面的数据进行修改

比如说我们先读取卡里面的数据然后我们进行使用 拿回来在进行读取消费过的数据卡然后进行对比

如果出现不同的数据他会标注红色的，然后我们需要进行验校值的检验.

下面我们来讲解

M1结构：

M1卡分为16个扇区，每个扇区4块（块0～3），共64块，按块号编址为0～63。第0扇区的块0（即绝对地址0块）用于存放厂商代码，已经固化，不可更改。其他各扇区的块0、块1、块2为数据块，用于存贮数据；块3为控制块，存放密码A、存取控制、密码B。每个扇区的密码和存取控制都是独立的，可以根据实际需要设定各自的密码及存取控制。

M1卡运作机理：

连接读写器→寻卡→识别卡（获取卡序列号）→从多卡中选一张卡→向卡中缓冲区装载密码→验证密码→进行读写→关闭连接

M1卡功能模式：

1.寻卡模式：

寻卡模式分三种情况：IDLE模式、ALL模式及指定卡模式（0，1，2 均是int类型，是方法参数，下同）。

0——表示IDLE模式，一次只对一张卡操作；

1——表示ALL模式，一次可对多张卡操作；

2——表示指定卡模式，只对序列号等于snr的卡操作（高级函数才有）【不常用】

也就是说，我们一次也可以同时操作多张卡。

对于多卡操作，其实际真正执行操作的还是一张卡。读写器能识别多张卡的序列号（但注意识别出的顺序是不定的，并且最多也就能识别4张卡，因为卡叠放的厚度太厚，会超出读写器的识别范围），并一一进行操作。

所以由此看出，多卡操作的意义并不大。但我建议大家还是设置为1好了（原因不说了，自己感受吧，其实无所谓）。

2.密码验证模式：

0——KEYSET0的KEYA

4——KEYSET0的KEYB

M1卡可以在验证密码时选择密码类型（A/B）。【其实M1卡有3套密码（KEYSET0、KEYSET1、KEYSET2），共6个密码（用0～2、4～6来表示这六个密码），目的是为了适应不同读写器。而这里我们用的是KEYSET0的2个密码】(本文《RFID HacKing频射硬件入门》 由ChaMd5安全团队原创投稿安全脉搏，作者为核心成员MAX丶,安全脉搏发表本文，如需要转载，请先联系安全脉搏授权；未经授权请勿转载。)

M1卡密码机制：

这可以说是M1卡的精髓了，也是M1卡最为复杂的地方，希望大家耐心看完。

（请先看明白M1卡结构）如上所说，在存取控制中每个块都有相应的三个控制位,它们的定义如下：

块0：   C10   C20   C30

块1：   C11   C21   C31

块2：   C12   C22   C32

块3：   C13   C23   C33

一个扇区的三个数据块，我们可以利用密码机制对它们分别进行权限控制。数据块（块0、块1、块2）的存取控制如下：

M1卡编程

例如：当块0的存取控制位C10 C20 C30=100时，验证密码A或密码B正确后可读；验证密码B正确后可写；不能进行加值、减值操作。

M1卡最简单的就是比较然后他的加密都是十六进制通过比较出来的数值记得你的消费剩下的数值然后利用这个工具算出他的最大金额就可以了！

工具地址：http://pan.baidu.com/s/1gfFryUJ

本文《RFID HacKing频射硬件入门》 由ChaMd5安全团队原创投稿安全脉搏，作者为核心成员MAX丶,安全脉搏发表本文，如需要转载，请先联系安全脉搏授权；未经授权请勿转载。

本文作者：ChaMd5安全团队

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/57135.html