破解NFC卡

目录

• 概念
  • 各种卡
• IC卡存储器结构
• 破解工具

破解NFC卡

概念

各种卡

ID卡 工作在低频（125Khz）

ID卡	特点
EM4XX系列，多为EM4100/EM4102卡	常用的固化ID卡，出厂固化ID，只能读不能写；常用于低成本门禁卡，小区门禁卡，停车场门禁卡
ID白卡：EM4305或T5577	可用来克隆ID卡，出厂为白卡，内部EEPROM可读可写，修改卡内EEPROM的内容即可修改卡片对外的ID号，达到复制普通ID卡的目的； T5577写入ID号可以变身成为ID卡，写入HID号可以变身HID卡，写入Indala卡号，可以变身Indala卡
HID ProxⅡ	美国常用的低频卡，可擦写，不与其他卡通用

IC卡

IC卡	特点
M1卡全称Mifare S50，	是最常见的卡，出厂固化UID（UID即指卡号，全球唯一），可存储修改数据；常用于学生卡，饭卡，公交卡，门禁卡；
M0卡全称Mifare UltraLight，	相当于M1卡的精简版，容量更小、功能更少，但价格更低，出厂固化UID，可存储修改数据；常用于地铁卡，公交卡；
UID卡 全称Mifare UID Chinese magic card	，国外叫做中国魔术卡，M1卡的变异版本，使用后门指令(magic指令)，可修改UID（UID在block0分区），可以用来完整克隆M1卡的数据； 但是现在新的读卡系统通过检测卡片对后门指令的回应，可以检测出UID卡，因此可以来拒绝UID卡的访问，来达到屏蔽复制卡的功能（即UID防火墙系统）；
CUID卡	为了避开UID防火墙系统，CUID卡应运而生，取消响应后门指令(magic指令)，可修改UID，是目前市场上最常用的复制卡； 近两年，智能卡系统制造公司，根据CUID卡的特性研发出CUID卡防火墙，虽然现在（2019年）还不是很普及，但是总有一天CUID卡会和UID卡一样面临着淘汰
FUID卡	FUID卡只能写一次UID，写完之后自动固化UID所在分区，就等同M1卡，目前任何防火墙系统都无法屏蔽，复制的卡几乎和原卡一模一样； 但缺点也相对明显，价格高、写坏卡率高，写错就废卡。
UFUID卡	集UID卡和FUID卡的优点于一身，使用后门指令，可修改UID，再手动锁卡，变成M1卡。 可先反复读写UID，确认数据无误，手动锁卡变成M1，解决了UID卡的UID防火墙屏蔽，也解决FUID的一次性写入容易写错的问题，且价格比FUID卡还便宜；

判断是M0卡(Mifare UltraLight)，还是M1卡(Mifare Classic 1k)，可以通过SAK值判断。

IC卡存储器结构

ref: https://hceng.cn/2019/07/12/NFC%E6%89%8B%E6%9C%BA%E6%A8%A1%E6%8B%9F%E5%8A%A0%E5%AF%86%E9%97%A8%E7%A6%81%E5%8D%A1/

破解工具

手机模拟

工具
APP NFC卡模拟	已root。 读取加密卡的UID和非加密数据、并写UID到手机NFC里
小米系统自带的门卡模拟功能	未root。不能对加密卡进行任何操作
第三方软件MifareClassicTool	读取UID，因为没有root，不能写手机NFC，但可以写IC卡，因此还需要一张CUID卡(不能使用UID卡)，某宝上一块多一张，思路就是先读取加密卡的UID，再读取CUID卡的数据，然后将CUID卡的UID改为加密卡一样的UID，再将修改后的数据写回到CUID卡，最后用小米系统自带的门卡模拟功能，复制未加密的CUID卡即可看运气吧，我小区的门禁系统就只认UID，搞定
Proxmark3解密门禁卡	https://hceng.cn/2019/07/12/NFC%E6%89%8B%E6%9C%BA%E6%A8%A1%E6%8B%9F%E5%8A%A0%E5%AF%86%E9%97%A8%E7%A6%81%E5%8D%A1/
用Proxmark3 + 小米手机自带的门卡模拟	复制非加密卡的UID --》 用Proxmark3写入加密区域

ref： https://hceng.cn/2019/07/12/NFC%E6%89%8B%E6%9C%BA%E6%A8%A1%E6%8B%9F%E5%8A%A0%E5%AF%86%E9%97%A8%E7%A6%81%E5%8D%A1/