Жду новый пост

Серия «RFID»

Наткнулся на такой заголовок четырехлетней давности и решил запилить пост.

Замазал название городов и систем, так как пост чисто теоретический. Так сказать, мои фантазии. Что то мне приснилось, что то я придумал на ходу. Не стоит воспринимать серьезно или думать, что это какая то инструкция. Если бы это было на самом деле, то следовать советам из поста - нарушить 327 УК РФ. А нам этого не надо. Не надо ведь?
Постараюсь как можно проще. Допустим есть два больших города. Один из них Неризиновск. Другой Северный Резиновск. В первом есть проездная карта, допустим Удовлетворительная. Во втором Топтун. Речь пойдет о последней.
Так вот, карта Топтун позволяет нам использовать метро и наземный транспорт. Формат MIFARE Plus 4K, работает в режиме совместимости MIFARE Classic. Последний имеет известные уязвимости и используется в большинстве современных домофонов, например Метаком. Частота 13.56 МГц. Для авторизации и возможности чтения/записи карты считыватель использует ключи от секторов. Возможно когда то более подробно опишу структуру памяти MIFARE 1k, но сейчас пост не об этом.
Нам интересно, возможно ли сделать что нибудь с картой Топтун. Для тестирования нам понадобится Proxmark3. Советую использовать графический интерфейс для windows. Это не отменяет необходимости знания команд и умения их вводить вручную. Но там все видно наглядно. Так как карта Топтун исключительно плод моего воображения, фото наглядной демонстрации у меня не будет.
Итак. У нас есть карта, proxmark3 и доступные атаки nested, hadrnested, darkside. Не уверен, что она подвержена им всем. Но нас интересует, есть ли на ней сектора с стандартными ключами FFFFFFFFFFFF. Читаем карту и о чудо, предположим что есть. Значит часть секторов мы можем прочитать и даже перезаписать. Если мы знаем ключ от одного сектора, можем попробовать атаку nested. И через полторы минуты, у нас полностью открытая карта.
По факту, предыдущий пункт с умными названиями атак можно пропустить. Ведь в приложении MCT в списке расширенных ключей, они возможно уже все есть Копируем ключ от домофона MIIFARE телефоном MCT
Мы можем сделать дамп памяти и записать его обратно. Этого достаточно. При желании, можно самому изменить баланс, но там все несколько сложнее. Помните it гения? Так вот, он провел эксперименты (не спрашивайте как, ведь пост фантазия автора). Результаты экспериментов можно увидеть на скрине:

Возможно, если восстановить дамп карты с балансом и поехать на метро, то получим мгновенную блокировку. Если в автобусе, то карта протянет может неделю. А вот в маршрутках, говорят до полу года. Объяснить это можно  тем, что турникеты метро находятся в онлайне и сверяют информацию на карте с базой очень быстро. Остальные же считыватели это делают периодически и только находясь в парке.
А вот полезная информация об участке памяти, где деньги лежат.

Но пусть вас не пугает обилие непонятных слов в посте, все очень просто. Любой считыватель поддерживающий mifare 4k (возможно даже телефона достаточно), карта Топтун, открытые ключи из MCT, чтение и запись. Надеюсь в жизни никто не использует MIFARE 4k в режиме совместимости с classic со всеми ее уязвимостями, о которых все знают годами. Иначе халявить было бы так просто, если не страшиться уголовной ответственности.
Огромное спасибо it гению. На написание поста натолкнула его статья и идиоты журналисты. Гениальности никакой. Парень воспользовался известными дырами, меня больше радует, что не поленился, проверил разные варианты использования и написал приложение для более удобного процесса. Спасибо за внимание и бессоннице с подъемом в 4 утра. Другие посты про RFID по тегу или в профиле. Хотел сделать каминг-аут, я плюсодрочер и не стесняюсь этого.

Продолжаем тему постов про rfid.

Когда нибудь напишу объёмный пост, где постараюсь систематизировать знания. Там будет много теории и практической информации. А пока встречайте мини пост про приложение MIFARE Classic Tool. В недавнем посте про сниффер, случился такой диалог в комментариях.
Копировальщик mifare 1k / сниффер

Товарищ @2ch.ru купил штуку под названием arc122 для считывания и записи mifare. И по ошибке подумал, что оно считало зашифрованный ключ. На скрине в переписке я показал ему, что домофонный ключ был без защиты. Ключ Б всех секторов стоит дефолтный FFFFFFFFFFFF. А значит, чтобы прочитать метку, достаточно иметь телефон с NFC на андроид. Записать тоже можно, но нужна болванка, я называю их MCT, в честь приложения. Не путать с classic и zero.
Герой этого поста - приложение, которым я читаю и пишу основную массу ключей.

READ - чтение меток. Там мы можем выбрать какие читать сектора и какие ключи для этого использовать.
Extended-std.keys это расширенный список стандартных ключей. Std.keys короткий список. Если ключ прочитан, на экране отображается его содержимое , либо полностью, либо частично. Мы можем добавить свои библиотеки или ключи от конкретной метки в другом меню, а здесь выбрать нужный список.

Здесь же можно сохранить его в память и отредактировать, чтобы потом не имея оригинала, делать дубликаты.
Следующий пункт WRITE - запись.

Здесь мы можем записать ключ поблочно. Либо полностью залить дамп. Можем клонировать uid - актуально для ключей домру. И ещё пара неиспользуемых мной функций. Есть хитрость, не всегда метка полностью записывается функцией запись дампа. Обычно проблемы с 0 блоком 0 сектора, где хранится uid. Эта проблема касается заготовок MCT (zero перезаписать в этом приложении не выйдет, вернее его нулевой блок нулевого сектора). В таком случае нам нужно записать поблочно информацию из нулевого блока нулевого сектора нашего дампа на нашу болванку. И все, ключ полностью идентичен. Проверим это функцией чтения. У основной массы меток, достаточно сверить 0 блок 0 сектора и 3 блок 0 сектора. Если это последние домофоны метаком, то имеет смысл обратить внимание на 14 сектор.
Следующие два пункта главного меню позволяют нам редактировать дампы и ключи. Мы можем сами создавать файлы с ключами, чтобы считать зашифрованную метку. Можем импортировать все ключи из файла с дампом. Можем делать резервные копии и импортировать дампы в другие форматы, поддерживаемые другими приложениями или proxmark3. Можем сравнить два дампа, иногда бывает очень полезно.
Допустим у нас есть метка домру , где авторизация идёт максимально тупо, по uid. Берём телефон, прикладываем сзади метку, и считываем ключ используя стандартные ключи (или не стандартные, не так много их через меня прошло). Сохраняем дамп. Берём заготовку, и делаем запись дампа. Либо просто 0 блока 0 сектора, если пароль стоит дефолтный FFF... Если при записи дампа последний не записался, то сделать это вручную. Все, ключ готов. Поздравляю, вы сэкономили 300 рублей и получили моральное удовлетворение от того, что сделали это своими руками.

Казалось бы, ситуация простая, решение тоже. Но как оказывается, люди не очень знают об этом приложении и не умеют пользоваться им. Ещё оно удобно, для проверки стандарта ключа. Если приложив метку, мы сможем считать uid функцией display tag info из настроек, то у нас mifare на частоте 13.56 МГц. Кстати, mifare тоже бывают разные, на 1k свет клином не сошелся. Возможно напишу об этом позже.
Предыдущие почты на тему rfid:
Копировальщик ключей домофона
Делаем ключ 3 в 1 (шлагбаум, домофон и калитка)
Проект компактного копировальщика ключей EM/Ibutton
Ключ от домофона EM-MARINE 2 в 1
Копировальщик mifare 1k / сниффер
Спасибо за внимание, плюсики и подписки. Мой контакт в профиле. Пишите, что ещё вам интересно касаемо темы rfid и других. Задавайте вопросы и комментируйте. Ваша активность это основной мотиватор для продолжения.

P.S. утром перечитал пост и исправил ошибки, где то дополнил. Глянул статистику и удивился. 22к просмотров. Около 1% просмотревших поставили плюсы. Около 2% сохранили пост. И около 15 человек оставили комментарии. Интересно и странно. Ну да ладно.

Приветствую случайные зрители, подписчики лиги радиолюбителей и 39 моих подписчиков (кто такие? откуда? надо провести перепись). Этот пост является продолжением темы RFID. В данном случае пойдет речь о проекте svk4286 с хабра. Моя задача - донести до людей, что копировать mifare, в том числе защищенные, например метаком с последней прошивкой и считывателем с 4 полосками iron logic не так сложно.

Ссылка на хабр https://habr.com/ru/post/479370/ Благодарим товарища svk4286 за удобное приложение и прошивку для STM32.

Позже, в следующих постах, я попытаюсь доступным языком объяснить, что такое mifare 1k.  Здесь же, будет вкратце и возможно слишком упрощенно с ошибками. Нам надо знать, что в больших городах основная масса новых домофонов, идет как раз с такими ключами. Это к примеру метаком. Да и старых хватает. Если домофонная служба использует карту объекта и достаточно свежие домофоны, то у нас проблема. Мы не можем считать исходный ключ. Имея на руках proxmark3, мы можем провести несколько атак. Но сути это не меняет. Чтобы прочитать метку, нам нужны криптоключи. Вытащить их можно из обмена домофона с меткой. Для этого можно использовать тот же proxmark3, устройство для копирования ключей SMKEY, и главного героя нашего поста - сниффера MIFARE. Последний отправляет считывателю uid метки и смотрит, что идет в ответ. Далее расшифровывает ответ и выдает ключи от секторов метки. После выхода прошивки 7.2 и считывателей с четырьмя полосками iron logic, все стало чуть сложнее. Но не суть, пост не об этом.

Рассмотрим варианты, с которыми лично я сталкивался.

1. Proxmark3

У него есть команда hf 14a sniff позволяющая нам слушать обмен считывателя с меткой. Но поверьте, добиться результата будет сложно. Об этом напишу в следующих постах. Он все равно пригодится, цена от китайцев доступная на простую версию, как на скрине.

2 вариант. Копировальщик SMKEY

Он хорош. Поддержка от производителя, обновления ПО и т.д. Но цена может отпугнуть. Если есть деньги и планируете зарабатывать, можете взять его.

3 вариант. Наш сниффер с хабра. Можно запросто уложиться в тысячу рублей. Работает быстро, свою задачу выполняет. Имеет функцию записи меток на заготовки classic, zero и по идеи MCT. Умеет восстанавливать 0 сектор zero и сбрасывать криптоключи. Спасибо магическим командам. Считывает криптоключи с iron logic (4 полоски). Его то я и решил собрать.

Нам понадобится STM32, блютус модуль HC-05/06, АКБ, модуль зарядки и немного деталей. Сразу скажу, собирать только версию с блютус и с самодельной антенной. Никаких PN532. Оно нам понадобится позже, в следующих постах. Схема и статья выше по ссылке на хабре.  Быстро разводим плату

К сожалению фото изготовления не осталось. Поэтому сразу результат

Вид сбоку. Под платой STM32 находится модуль блютус. А вид спереди, можно посмотреть вначале поста. Это прототип, но свою задачу выполняет прекрасно. Заряд держит более 11 часов. В следующей версии устройство будет распаяно на одной плате. Включение будет не с помощью перемычки, а небольшим переключателем. Катушку мотал на старую добрую 50 копеек монету. ПЭВ-1 диаметром 0.3.. вышло 11-13 витков.

Пост короткий и без подробностей. Если будет интерес, то доведу плату до ума в более компактном виде и выложу со всеми подробностями сборки. А пока главный мой мотиватор, это ваши лайки. И некоторые товарищи, заказывающие сборку устройств (контакт в профиле). Но есть и недовольные

Из поста Хватит переплачивать CATGENIE 120 за картриджи

Ну что же, таким советую ставить дизлайк и добавлять меня в игнор. А всем кто оставили комментарий на прошлый пост и поставили лайк, большое спасибо. Я правда удивлен, что за два часа достиг своей цели. Теперь первой ссылкой в яндексе идет тот пост, а не барыги, продающие arduino pro mini за 6800 рублей.

Если и эта тема будет интересна, доведу эту плату до компактного вида и выложу с подробностями сборки в следующих постах. Задача этого, дать понять, что совсем не сложно копировать mifare 1k, пусть и защищенный, благодаря тому же svk4286. Давайте все вместе разорим домофонные службы, что берут 300+ за один ключ, при цене заготовки 6 рублей.

Темы следующих постов:

Proxmark3, интерфейс для windows и основные команды.

Виды заготовок rfid для домофонных ключей.

Копирование ключей как подработка.

Блютус сканер для диагностики ГБО.

Проект компактной платы, для сниффера мифайр с хабра.

PN532 работа с телефоном, запись заготовок zero.

Пишите, что вам интересно. Также, скоро будут результаты обмана туалета для кошек CATGENIE 120 из предыдущего поста, ссылка вначале или в профиле.

Проект компактного копировальщика ключей EM/Ibutton

Ключ от домофона EM-MARINE 2 в 1

Делаем ключ 3 в 1 (шлагбаум, домофон и калитка)