小米手环3 NFC版门卡模拟攻略

小米手环3 NFC版门卡模拟攻略 小米手环3 NFC版门卡模拟攻略 小米手环3 NFC版的门卡模拟功能是很多朋友购买的重要理由之一。这手环默认仅支持非加 密卡的模拟，通过我的实验，小米手环3NFC版已经可以完美模拟加密的IC 门卡。 ， 同样的，下面的方法也可以适用于带有全功能NFC功能的小米手机进行加密门卡模拟。 好了，下面就把详细的教程分享给大家。 免责声明 本教程仅供个人学习，由此带来的任何非法后果均由个人自行承担。 一、可以模拟的卡片类型 小米手环3 NFC版和带有全功能NFC功能的小米手机可以模拟的门卡类型是13.56MHZ的 MIFARE Classic的1K卡，MIFARE Classic卡是NXP（恩智浦）推出的IC卡，也是我们目前 最常见的IC卡。这种我们俗称的M1卡，由于设计的缺陷，在已知任意扇区的密钥的情况 下，通过Nested Authentication 攻击可以快速的获取到所有加密扇区的密码，这也为我们解 密加密卡提供了可能性。其他所有非13.56MHZ频率的IC 卡手环或手机都是没法模拟的。 有一些地方使用的是MIFARE Plus卡，这种卡片是NXP为了解决M1卡安全性问题而推出的安 全性加强卡，解密会更加困难。 二、设备和所需硬件 1、带有NFC功能的手机1台 使用带有NFC功能的手机来检测卡的基本信息，我个人使用的是小米MIX2手机。我个人比 较喜欢MIFARE Classic Tool（MCT），可以快速方便的检查卡片类型，查看M1卡已知区 段，读写卡片内容等。 NFC 手机其实也并不是必需的，只是很多操作在 NFC 手机上会更方 便一点而已。 MCT_v2.2.4_.apk下载地址： 链接： 提取码: x9ab 2、PN532 NFC/RFID 模块和USB转TTL模块一套（或PM3/变色龙等） PN532芯片是NXP公司开发的NFC读写芯片，对比ACR112U芯片，价格更低，且在一定成 功率上支持解密全加密卡。在通过手机检测卡片是非全加密卡的情况下，强烈推荐PN532卡 系列。某宝上，PN532 NFC/RFID v3 模块 + PL-2303HX USB 转 TTL 模块整套的价格在三 十多元，还送两张可读写的 IC 卡，真是物美价廉啊 。 根据个人经验，如果经过检测是全加密卡的情况下，PN532解密的成功率在50%左右，而使 用PM3(ProxMark3)来解密全加密卡，成功率99%，毕竟PM3就是干这个的，但PM3最大的 问题是价格较高，在300元左右。除了PM3，全加密卡还可以使用变色龙来获取密钥，变色 龙通过直接嗅探与读卡器的交互信息，再通过运算解密密钥，甚至可以在无卡的情况下获取 到读卡器的密钥信息。PM3和变色龙价格都比较高，如果只是个人模拟自家门口的话，买来 好像不太合算。 购买时，记得让商家帮你把插线底座焊接好，如果连 USB2TTL 模块一起买的话，最好让商 家一起帮你连接好。 PN532模块 如果自己连接到话，USB转TTL模块要这样与PN532模块直接通过杜比线连接在一起，先看 PL2303HX线序定义： GND-GND , VCC-5.0V，SDA-RXD，SCL-TXD PN532模块呢是这样的： PN532模块 特别需要注意的是，虽然USB2TTL芯片上，SDA和SCL分别对应RXD（接收端）和TXD（传 送端），但是设备的RXD必需对应的应该是芯片的TXD，设备的TXD对应的是芯片的RXD， 这样一收一发数据才可以正常收发。所以正确的接线顺序应该是： GNDGND VCCVCC(+5V) SDATXD SCLRXD 反正只要 GND 和 VCC 没搞错，就不可能损坏芯片的，如果插上不能正常用的话，就调换 SDA 和 SCL 试试看。 买的时候让商家帮你连接好的话，那这一步你就省了。 3、电脑一台，驱动和软件若干 把连接好的PL2303HX这个USB2TTL模块插到电脑的USB口上，根据操作系统的不同，安装 相应的驱动程序。如果你买的是其他芯片的USB2TTL模块，那么就按照对应的芯片安装所 需驱动。考虑到Windows的占有率，下面还是以Windows为例。 Windows下的，且支持Windows10的PL2303HX驱动程序下载： 链接: 提取码: s5fv 安装好驱动之后，打开操作系统的设备管理器，如果在端口中可以看到，那就大功告成，可 以继续下一步了。 USB2TTL 下载Windows下的解密工具包： 链接: 提取码: n7eg 这里面是常用的解密工具和读写卡工具，下载后找地方解压放好。 4、一张可以读写的UID IC卡或者CUID IC卡 某宝上，每张1-3元不等。购买PN532套装时，卖家通常会送两张，也可以单独购买更漂亮 的滴胶的CUID卡使用。 也有超薄的IC卡，可以贴到不支持NFC门口的手机后面用 。 滴胶CUID卡 三、检测卡片类型和是否加密 打开安装好的MCT工具，点击“工具”-“显示标签信息”，在“标签类型和厂商”中，如果显 示为“MIFARE Classic 1k, NXP”的话，就可以确定此卡为M1卡。 检测卡片类型 在MCT工具中，点击“读标签”，选中全部的密钥，等读取完毕后，0-15个扇区中，如果有部 分扇区红色的“没密钥发现（或死扇区）”的提示，就表示是非全加密卡，这类卡片是可以快 速的解密出来的。如果全部扇区都是这个提示的话，那这张卡片就是不幸的全加密卡。 非全加密卡（部分加密卡） 好啦，现在这张卡是没办法直接在小米手环3 NFC版和手机模拟门卡功能上直接模拟成功 的，那我们继续下一步吧。 四、解密密钥 1、解密非全加密卡 解密非加密卡的密钥是基于Nested Authentication攻击方法的，是基于M1卡本质上的设 计缺陷进行的，在已知任意扇区的密钥的情况下，基本上可以保证在相对较短的时间里一定 可以解密出加密扇区的密钥。通常情况下，用来解密非全加密卡的工具是mfoc程序 ，解密 全加密卡使用mfcuk程序。mfoc和mfcuk都说基于libnfc工具包的，使用前，在libnfc.conf文 件中配置好PN532模块的COM端口信息，COM3或COM4根据设备管理器中查看到的实际端 口填写： allow_autoscan = true log_level=2 allow_intrusive_scan = true =PN532Reader device.connstring=pn532_uart:COM3:115200 如果是非加密卡，以为的经验，NFC上位机的成功率更高，并且是图形界面，下面还是重点 介绍NFC上位机吧。 打开上面下载的PN532工具包，打开“上位机”目录，双击运行“NFC_READER_crack.exe”， 同意声明后进入程序界面： 软件声明 上位机主界面 把卡片放在PN532模块上，点击“读整卡：读取卡片内容”按钮： NFC上位机解密中 经过几分钟到几十分钟甚至几小时不等的时间，NFC上位机通常就会解密成功，显示出如下 界面： 解密成功 图中的100000000003就是对应之前用手机MCT工具查看到的扇区8和扇区9的密钥。点击数 据的左上角的位置，可以把解密出的信息dump到文件中。 2、解密全加密卡 解密全加密卡的话，如果你依然用PN532模块的话，那就用工具包中的mfcuk程序，和上一 步使用mfoc程序一样，使用前要在libnfc.conf文件中配置好PN532模块的COM端口信息。 之后运行命令进行解密： mfcuk.exe -C -R 3 -S 250 - s 250 -v 3 如果觉得使用命令行麻烦，也可以直接运行“PN532破解全加密GUI.exe”程序，点击“全加密 卡破解密钥”按钮。 破解全加密卡 PN532解密全加密卡的成功率在50%以内。如果长时间解密不出的话，可能就得上PM3或 者变色龙了，这里就不深入说了。 五、模拟卡片 密钥我们有了，现在终于到了我们最重要的一步，模拟卡了，*,*:.()/$:*.*。撒 花！ 模拟门口过程中，可以使用PN532模块之间写，也可以用手机上的MCT工具来写，我这里就 以MCT工具为例吧。 1、增加密钥 打开MCT工具，点击“编辑/增加密钥文件”，打开base.keys文件，在文件内容中，把上一步 获取的密钥添加到文件内容的最下端： 增加密钥 增加密钥后保存，可以给这个密钥文件重新取一个名字，这样在操作IC卡读写时只使用 这个密钥文件，可以让读写的速度快一点。 2、读标签 打开MCT工具，点击“读标签”按钮，在“映射密钥到扇区”界面上，只选中刚刚新增密钥的那 个密钥文件，把你的IC卡放到手机的NFC区域后，点击“启动映射并读取标签”按钮。 读取标签 卡片读取成功 对比一下之前我们读加密卡，扇区8和扇区9的内容都出来了，点击右上角的保存按钮，把读 出来的内容保存到文件中。 3、写标签到IC卡 IC卡在扇区0中保存着卡片的ID和厂商信息。上面说到过，小米手环3NFC版和手机的门卡模 拟都紧紧支持模拟未加密的IC卡，也就是仅仅支持扇区0里有数据，且密码是默认 FFFFFFFFFFFF的卡片。所以我们这一步要造一个只有扇区0有信息的IC卡。 打开MCT工具，点击“写标签”按钮，拿出准备好的可以读写的 IC卡放在手机NFC卡区域， 在“写标签”界面中，选中“写转储（克隆）”项目，选中“显示选项”，然后选中“高级：使能厂 商块写入”，然后点击“选择转储”按钮，选中刚刚存储的卡片内容项目，点击“选择转储”按 钮。在接着出现的“写扇区”窗口中，仅选中“扇区0”，然后点击“好的”。 写标签界面 写扇区0界面 在这一步中，如果写入到IC卡的是全部扇区，那么这张IC卡就等于是你原来卡片的复制卡， 是有正常门禁功能的，如果你用的手机是iPhone等没有NFC功能的，那么完全可以把IC卡写 好后拆出线圈放进手机和手机套之间，给手机增加门禁功能。 IC卡结构 4、写标签到小米手环3 NFC版 当MCT提示写入成功时，就可以拿小米手环3 NFC版来模拟一张门卡了。打开小米运动 App，在“我的”标签中，先去“实验室功能”中把“门卡模拟”选中，这样手环的门口模拟功能 才能使用。 打开门口模拟的实验室功能 打开“我的”-“我的设备”中的“小米手环3 NFC版”，点击“门口模拟”，根据提示，把刚刚写了 扇区0的IC卡放在手环上进行模拟。 检测门口 模拟门卡 模拟成功后，手环里有了一张门口。但是，现在手环里的门卡是没法刷卡成功的，因为其中 的加密信息并没有在里面。下一步，我们就是要把加密内容再写进手环中。 打开MCT工具，点击“写标签”按钮，在“写标签”界面中，选中“写转储（克隆）”项目，选 中“显示选项”，然后选中“高级：使能厂商块写入”，然后点击“选择转储”按钮，选中刚刚存 储的卡片内容项目，点击“选择转储”按钮。在接着出现的“写扇区”窗口中，全选全部扇区， 把手环紧紧贴在手机NFC卡区域，手环会震动一下，然后手环上会显示出刚刚模拟的那张门 卡，然后点击MCT工具中的“好的”，保持手机和手环的相对位置不动，直到MCT提示写入成 功。 大功告成，至此，可以刷卡的小米手环3就完成了。 六、简单总结 1. PN532是个便宜好用的NFC读写模块