18820人阅读
&我们知道,mifare one 卡有16个扇区,每个扇区分成4个块,每个扇区都可以有自己独立的密码,所以安全性比较高,目前较为常用的是一卡一密的方法,所以破解一张卡片的密码对整个系统的影响不是很大,但也不排除仍然用统一密码的,这种情况下,只要你解开了卡片的密码,你就可以随意的往卡片里写入内容了.
在解密之前,我们应该有明确的解密码目标,比如一套正在使用的系统,由于工作的需要,需要重写卡片,这时如果知道卡片指定扇区的密码,将对我们工作产生很大的帮助
一、准备工具
1、串口监测程序(我在这里用的是ComMonitor)
2、读卡设备(我在这里用的是明华的rf35系列)
3、读卡相关的程序(Rfsetup32.EXE,明华网站上可以下载的例程)
二、开始工作
1、先在现有用于发卡的计算机上安装ComMonitor，安装完成后，打开该监控工具，并选择用16进制方式进行监控，此时将需要破解密码的卡片在原有的设备上进行读卡测试，如果读卡成功，ComMonitor应该能监测到一串数据流。
2、多保存几个数据流，然后看里面的共性，一般来说总会发现FFFFFF这样的数据，因为读卡时很大可能会先发此串数据与卡的0区进行校验，成功后会有相关返回值，查找可能出现的共性值，或者比较像密码的地方，并将其记录下来
3、在Rfsetup32.EXE安装后的程序中用估计的密码进行测试，注意KeyA,KeyB与控制位的内容,如果你猜测的密码正确，则该工具会返回卡片内块上所写的具体内容。
4、根据块上返回的内容，再做其它的修改，即可达到我们的目的。
这里只是写了几个步骤，有兴趣的朋友可以自己仔细试一下，比如拿一张空白卡进行测试，之后在找一些加过密的卡片来做，相信很快就能找出你需要的密码了。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：201532次
积分：2083
积分：2083
排名：第15114名
原创：35篇
评论：180条
(1)(1)(1)(1)(1)(1)(1)(7)(6)(3)(1)(1)(3)(2)(1)(2)(3)(1)您所在的位置： &
RFID破解三两事(3)
RFID破解三两事(3)
网上看了很多RFID破解的文章，大部分都是工具使用，一步步该怎么操作，基本上没有讲原理的，估计导致了很多初学者非常迷惑，特别是一旦按照操作步骤操作的时候出错时更加迷惑。
IC卡密码破解的几种方法：
1) 使用默认的密码攻击
很多应用IC卡都没有更改默认密码，所以导致可以直接使用默认密码来尝试接入IC卡，常见的默认密码有：
ffffffffffff
a0a1a2a3a4a5
b0b1b2b3b4b5
aabbccddeeff
4d3a99c351dd
1a982c7e459a
d3f7d3f7d3f7
714c5c886e97
587ee5f9350f
533cb6c723f6
8fd0a4f256e9
FFzzzzzzzzzz
A0zzzzzzzzzz
2) nested authentication 攻击(大家常说的验证漏洞攻击)
前面讲到每个扇区都有独立的密码，一些情况下，比如某饭卡，扇区3中存储着钱等数据，扇区3的更改了默认密码，扇区5中也存储着一些数据，扇区5也更改了密码，其他扇区没有更改默认密码。我们要操作扇区3跟5，不知道密码怎么办?使用nested authentication 攻击，这种攻击方式是在已知了16个扇区中任意一个扇区的密码之后，采用的攻击方式，可以获得其他扇区的密码。我们前面都提到了，16个扇区的密码都是独立的，那么怎么能通过某个扇区的密码获得其他扇区的密码呢?如果可以，那说明扇区就不是独立的呀，有人会说，由于M1卡的加密算法被破解了，我只能说那是还没有理解，具体算法不讲，只说明一下，算法只是使得猜解密码的时间变短，使得猜解密码成为可能。
这是什么样的原理呢?首先先了解，这是一个对等加密算法，也就是读卡器跟tag中都保存着同样的密码，也都是用同样的算法加密，然后看rfid的验证过程：开始交互的时候，tag就已经把uid给reader说了，主要牵扯到防冲撞机制，之后才开始验证。
第一次验证时，读卡器首先验证0扇区的密码，tag给读卡器发送一个随机数nt(明文)，然后读卡器通过跟密码相关的加密算法加密nt，同时自己产生一个随机数nr,(密文)发送给tag，tag用自己的密码解密之后，如果解密出来的nt就是自己之前发送的nt，则认为正确，然后通过自己的密码相关的算法加密读卡器的随机数nr(密文)发送给读卡器，读卡器解密之后，如果跟自己之前发送的随机数nr相同，则认为验证通过，之后所有的数据都通过此算法加密传输。
首先记住这里面只有第一次的nt是明文，之后都是密文，而且nt是tag发送的，也就是验证过程中，tag是主动先发随机数的。我们破解的时候，读卡器中肯定没有密码(如果有就不用破解了)，那么tag发送一个nt给读卡器之后，读卡器用错误的密码加密之后发送给tag，tag肯定解密错误，然后验证中断，这个过程中，我们只看到tag发送的明文随机数，tag根本没有把自己保存的密码相关的信息发送出来，那怎么破解呢?
所以，要已知一个扇区的密码，第一次验证的时候，使用这个扇区验证成功之后，后面所有的数据交互都是密文，读其他扇区数据的时候，也需要验证，也是tag首先发送随机数nt，这个nt是个加密的数据，我们前面也说过每个扇区的密码是独立的，那么加密实际上就是通过tag这个扇区的密码相关的算法加密的nt，这个数据中就包含了这个扇区的密码信息，所以我们才能够通过算法漏洞继续分析出扇区的密码是什么。
这也是为什么nested authentication攻击必须要知道某一个扇区的密码，然后才能破解其他扇区的密码。
3) darkside攻击
假设某个IC卡的所有扇区都不存在默认密码怎么办?暴力破解根本不可能，那这时候就是算法的问题导致的darkside攻击，我们照样不说具体算法什么漏洞之类，同样，我们考虑首先要把tag中的key相关的数据骗出来，也就是让tag发送出来一段加密的数据，我们通过这段加密的数据才能把key破解出来，如果tag不发送加密的数据给我们，那没法破解了。
前面我们也说了，第一次验证的时候tag会发送明文的随机数给读卡器，然后验证读卡器发送加密数据给tag，tag验证失败就停止，不会发送任何数据了，这样看，根本就没有办法破解密码。
实际上经过研究人员大量的测试之后，发现算法还存在这样一个漏洞，当读卡器发送的加密数据中的某8bit全部正确的时候tag会给读卡器发送一个加密的4bit的数据回复NACK，其他任何情况下tag都会直接停止交互。
那么这个4bit的加密的NACK就相当于把tag中的key带出来了，然后再结合算法的漏洞破解出key，如果一个扇区的key破解出来，就可以再使用nested authentication 攻击破解其他扇区密码。
4) 正常验证过程获得key
1-3都是通过一般的读卡器，把tag中的密码破解出来，破解的原理中，不管密码破解算法的漏洞，实际上都是要让tag中发送出来一段密文。
那如果读卡器本身就保存有密码，卡也是授权的卡，也就是说卡和读卡器都是正确授权的，那么他们之间的加密数据交换就可以直接使用PM3等监控下来，然后通过&XOR效验与算Key&程序算出密码来。
这种情况下一般都是内部人员做案，或者把读卡器中的SAM偷出来，SAM实际上就是保存读卡器中密码的一个模块，然后通过另外的读卡器插入SAM，用正常的授权的卡刷卡，然后监控交换数据，从而算出密码。
5) 另一个方面
前面4类方法基本上把目前的rfid卡破解讲清楚了，文字太多，所以也就没有截图，还有一个地方大家不知道考虑了么?
我们提到的都是卡和读卡器之间的数据交换，这是加密的数据，但是有没有想过读卡器跟电脑相连这块，电脑中肯定没有加密芯片，所以这块肯定是明文传输，在某种环境中，比如通过电脑的控制程序导入密码(假设是二进制等不能直接观看的密码文件)到读卡器的时候，我们通过监控USB口(串口)数据通信，是不是就能明文看到密码呢?
软件装载密码到读卡器
使用USB监控抓到的明文数据，包含了导入到读卡器中的密码明文。
常用工具说明：
1)mfoc mfocgui 以及目前网络上，淘宝上充斥的各类破解工具都是基于nested authentication攻击原理，就是内置了一些默认密码，首先使用默认密码对每个扇区进行测试，如果某个扇区存在默认密码，然后就是用nested authentication攻击获得其他扇区的密码。
2)PM3的darkside攻击，Mfcuk等为darkside攻击工具，一个扇区密码都不知道的情况下破解用的，由于破解算法的原理本身就不是100%成功的，所以如果长时间破解不出来，就停了重新换个nt，重新选个时间破解，跟运气也有些关系。
不要别人几个小时，甚至几十分钟就破解成功了，你几天都没有破解出来，还一直傻傻的等，不如暂停换个nt，过一会再试。
3)Libnfc工具，目前用的比较多的是radiowar的nfcgui，radiowar网站上也说了，就是给nfc-list nfc-mfsetuid nfc-mfclassic 这三个工具写了个gui界面，你也可以使用命令行模式，或者你也可以自己写个gui界面调用这三个程序即可，这些都是操作卡或者读卡数据的工具，国内不同的IC卡读卡器都附带有一些读写卡程序，我用的一个比这个要方便的多。【编辑推荐】【责任编辑： TEL：（010）】
内容导航&第 1 页： &第 2 页： &第 3 页：
关于&&的更多文章
为更好地应对互联网安全挑战，交流最新的安全技术与解决方案，国
随着云计算、物联网、大数据、移动互联网的大发展，你应该知道这些。
7月17日，乌云漏洞报告平台、SCANV网站安全中心等安全
随着移动设备与应用的激增，以及IEEE 802.11n 的广泛
Hillstone将于日至8月1日在上海、广州、成
本书非常详细而全面地介绍了C#程序设计语言。本书不是“5分钟学习C#”式的手册，也不是那种教您“照猫画虎”地创建一些与您的实
51CTO旗下网站什么是IC卡加密，读扇区密码IC卡读卡器？-MINDRON迈龙科技-门禁一卡通系统
<META content="什么是IC卡加密，读扇区密码IC卡读卡器？ , Mindron、专业门禁一卡通金牌制造商，主要产品有：门禁系统、电梯控制，停车场系统、考勤系统、POS消费系统、电子巡更系统、通道管理系统、智能化全面解决方案，ＩＣ卡扇区加密操作手册
１．&&&&&&&&&&&&ＩＣ卡写卡器与电脑连接，串口线与ＵＳＢ线都必须插上；
２．&&&&&&&&&&&&打开写卡器软件；
３．&&&nb" name=description>
您现在的位置是： &&
服务支持 &&
<TD class=STYLE123 vAlign=top
什么是IC卡加密，读扇区密码IC卡读卡器？
阅读:8310 时间: 15:43:37
ＩＣ卡扇区加密操作手册
１．&&&&&&&&&&&&ＩＣ卡写卡器与电脑连接，串口线与ＵＳＢ线都必须插上；
２．&&&&&&&&&&&&打开写卡器软件；
３．&&&&&&&&&&&&端口操作　选择串口名称和波特率（默认为９６００），点击&&3连接发卡器，如&&&果正常会显示“打开串口成功”
４．&&&&&&&&&&&&放一卡空白IC卡到发卡器上，修改编程卡（读卡器管理卡或叫母卡）
５．&&&&&&&&&&&&修改密码　选择扇区１　
&&&&&&&&&&&&&&&&&&旧密码为:**********
&&&&&&&&&&&&&&&&&&新密码填写管理卡一扇区密码：*********
&&&&&&&&&&&&&&&&&点击修改密码；
６．&&&&&&&&&&&&制作编程卡&填写如下&&用户卡新密码是扇区读卡器读取用户卡1扇区时的验证密码，自己可修改（必须为12位），点制作编程卡，填写任务名称，完成编程卡制作，将制作好的编程卡到指定的扇区读卡器上刷卡(工程上要用此种读卡器多少个，都操作一遍，只需要通电后拿编程卡刷即可)，完成对扇区读卡器的编程（也就是授权）；
&&&&&&&编程卡制作修改项目，
7．在写卡器上放上一张空白的ＩＣ卡，在修改密码界面，选择扇区１　旧密码为FFFFFFFFFFF&&&填写新密码（新密码为制作编程卡时设置的用户卡新密码），点击修改密码，完成用户卡的密码设置制作；
1-6&&&字节为扇区密码；
&7&&&&字节为设置次数，若写为0，则管理卡可设置无限次，1&–&0xff表示可设置1&–&256次（注意，包括本次刷的）；
&8&&&&字节为读取数据的块号，比如x扇区y块，其块号为(&4*x&+&y&)
&9&&&&字节为读取数据后发送的起始地址，例如设为2，则wg送出的数据是从第2字节开始，设为0，则从0字节送起
10&&&&字节为卡标识，用户设为0x66
11&&&&字节为wg格式，设为26表示wg26,设为34表示wg34,设为66表示wg66，设为0表示
送出序列号+块数据（这个只在12字节为0时才可用，即读扇区）
12&&&&字节为读扇区还是序列号。(0读扇区，1读系列号,2比较扇区密码后再送序列号)
13&&&&字节为wg数据发送顺序，0&为高字节&—&低字节，1&为低字节&—&高字节
14-16&字节保留，均设为0x00
若用户使用管理卡修改读卡器的工作模式，则需先对管理卡的1扇区0块进行初始化
格式如下：
&&&ff&&&&04&&&02&&&66&&&01&&&&01&&&&00&&&&00&&&&00&&&&00&&&&00
管理卡一扇区密码：erfid8&&&&*******
测试用户卡2扇区数据
&&&&&|&&&&|&&&&&&&
Mindron Technology. ,All Right Reserved.
迈龙科技&&
(门禁，一卡通)}