RFID实验指导书资料

RFID实验指导书

适用所有对无线射频传感器感兴趣的学生

XXX编写

概述

一、课程目的

《RFID无线射频实验》是一门实践性很强的实验课程，为了学好这门课，每个学生须

完成一定的实脸实践作业。通过本实验的实践操作训练，可以更好的了解RFID的基本功

能和基本的使用方法，为以后深入的研究学习打下良好的基础。

本课程实验的目的是旨在使学生进一步扩展对无线射频方向理论知识的了解；培养

学生的学习新技术的能力以及提高学生对该方向的兴趣与动手能力。

二、实验名称与学时分配

序学时实验类

实验名称

孑

数型

1环境搭建及高低频卡鉴别2脸证

2破解低频门禁卡信息并作卡片复制2验•证

3破解高频卡（多方法），读取卡内信息2综合

三、实验要求

1o问题分析

充分地分析和理解问题本身，弄清要求做什么，包括功能要求、性能要求、设计要

求和约束。

2O原理理解

在按照教程执行过程当中，需要弄清楚每一个步骤为什么这样做，原理是什么。

3o实践测试

按照要求执行每一步命令，仔细观察返回值，了解每项返回值表达什么意思，为什

么有的卡片可以破解有的不可以。

三、实验考核

实验报告应包括如下内容：

1、实验原理描述：简述进行实验的原理是什么。

2、实脸的操作过程：包括实验器材、实验流程的描述。

3、分析报告：实险过程中遇到的问题以及问题是否有解决方案.如果有，请写明如

何解决的；如果没有，请说明已经做过什么尝试，依旧没有结果导致失败。最后简述产生

问题的原因。

4、实验的体会以及可以济该功能可以如何在其他地方发挥更强大的功能。

注：最后实验结果须附命令行回显截图

四、实验时间

总学时：6学时.

实验一高低频卡鉴别

一、实验目的

1、掌握RFID驱动等环境安装设置.

2、掌握如何通过读取电压高低来区分高低频.

二、实验要求

1、认真阅读和掌握本实验的程序。

2、实际操作命令程序。

3、保存回显结果，并结合原理进行分析.

4、按照原理最后得出结果。

三、注意事项：

命令在实行时，如果想停止，不能用平时的Ctrl+C或者ESC等常规结束按键(可能

会造成未知损坏)，只需要按下Promxmark3上的黑包按钮。

方形的为高频天线(Proxmark3HFAntenna13.56MHZ);

圆形的为低频天线(Proxmark3LFAntenna125KHz/134KHz)

四、实验内容

1.安装驱动

打开我的电脑》右键一属性-设备管理器》人体学输入设备

这个“HID—compIiantdevicev就是我们的proxmark3设备，选择“USB人体

学输入设备”一般是最下面那个，注意：不是“HID-co叩Iiantdevice",更新驱动程序.

然后选择：

Proxmark—Driver-2012—01-15\proxmark_driver\ProxMark-3_RFID_lnstrume

ntoinf

下一步继续安装完成。安装完成之后在设备管理器里面可以看到proxmark3的

1.认真阅读和掌握本实脸的程序。

2.上机执行教程命令。

3.保存运行结果，并对其原理进行分析理解。

三、注意事项

•命令在实行时，如果想停止，不能用平时的Ctrl+C或者ESC等常规结束按键(可

能会造成未知损坏)，只需要按下Promxmark3上的黑色按钮.

•方形的为高频天线(Proxmark3HFAntenna13o56MHZ);

■圆形的为低频天线(Proxmark3LFAntenna125KHz/134KHz)

•安装驱动等环境搭建步骤已由实验一详细阐述，此处略过。

四、实验内容

1、简单了解卡片

门禁卡一般为T55X7标签？也叫？TK4100(EM4100)卡.？是属于？ID?卡。T55x7?标签

成本.？一般市场价格？2?元-3?元不等.？(如果批发，还能更便宜.)？所以很多地方都

用T55x7?标签。

一般判别标签卡的类型，？不可通过卡的外观？大小？形状来判断。

T55x7?的参数及应用范围：

EM?4100/4102?感应式?ID?标准卡

芯片：？？？EM?瑞士微电？？？？EM4102Water

工作频率：125KHZ????感应距离：2-20cm

尺寸：？ISO?标准卡/厚卡/多种异形卡

封■装材料：PVC、ABS?—

2、破解卡片

由于本次测试卡为低频卡，所以连接的是低频天线(LF)o

命令：If?em4x?em41Oxwatch?这个命令来获取门禁的Tags。

执行完命令以后，则需耐心等待，读取速度不确定，一般30分钟之内都算正常时间。

过程截图如下所示：

这条命令会读取EM410x?标签，2000?次取样获取ID。大部分门禁卡都将Tags作

为识别合法用户的认证标签，所以如果可以获取该Tags标签，则可以复制该门禁

卡.(除非个别地方将Tags与UID绑定)

最后一行uEM410xTagID:xxxxxxxx",这个则是获取的该卡Tags。

注意：读取Tags?的时候，门禁卡要放在低频天线上方，且需要电压稳定，不是每

一次都可以成功获取的，需要多尝试几次。

3、复制门禁卡

获取到Tags以后，我们就可以拿一张同样类型的空白卡进行复制.

步骤：先将白卡放在低频天线上，然后执行命令.

命令：l?e?em410xwrite?TaglD?1?

注：

•TagID为上一步获取的Tags序号；

•命令最后的1?表示t55x7?标签；

•前面的I?是1千？低频卡命令的缩写；

•第2?个e?是参数em4x?的缩写.

写完后，我们再用命令：If?em4x?em41Oxwatch?来查看，我们是否写进去了.

在对新复制好的卡执行完命令后，如果最后获取到的Tags值与先前的一样，或者将

新卡拿到门禁系统上可以测试通过，则说明T55x7门禁卡复制成功，否则需要重新执

行复制的步骤。

实验三破解高频卡（多方法）

一、实验目的

掌握利用高频天线破解MlFAREClassic高频卡的方法与过程。

了解MIFAREClassic卡的漏洞与不安全性。

二、实验要求

1.认真阅读和掌握本实验的算法.

2.按照教程执行命令，尽可能实现效果。

3.保存运行结果，并结合原理进行分析.

三、注意事项

•命令在实行时，如果想停止，不能用平时的Ctrl+C或者ESC等常规结束按键（可

能会造成未知损坏），只需要按下Promxmark3上的黑色按钮。

•方形的为高频天线（Proxmark3HFAntenna13.56MHZ）;

•圆形的为低频天线（Proxmark3LFAntenna125KHz/134KHz）

•安装驱动等环境搭建步骤已由实验一详细阐述，此处略过。

三、实脸内容

1、基于key的卡片破解

通过简单的电压测试（如实验一），可以得出我们要测试的MIFAREClassic卡是高

频卡。

放卡前：

放卡后：

当确定需要测试的卡为13.56MHz卡之后，就开始需要深入的了解这卡的信息了.我

们可以从hf命令集当中找到相关的命令（见附录）.

命令：hf14areader

这样我们就可以获取到该卡的UID。RATS是Requestforanswertoselect（选择

应答请求），原因是有时候Proxmark3在读取部分MlFAREClassic卡UID的信息时，因

为无法得到RATS的返回信息，会判断为非IS014443a标准的卡.国内有太多MIFARE

Classic类的卡，并不是NXP出产的，所以Proxmark3就会出现了这样子的提示！

从图中的信息我们可以看到的是现在读取的卡［ATQA］为0400.通常ATQA为0400

数值的卡，大部分都是MIFAREClassic或者是CPU兼容模式下的MIFAREClassico

当我们可以确定卡类型之后就可以针对其特性进行相关的安全测试了，通常当我们

拿到相关的卡的时候，我们应该先用chk命令去检测一下测试卡是否存在出厂时遗留的默

认Key,默认的KeyA/KeyB是使得MIFAREClassic系列安全问题雪上加霜的主要成因，

因为使用默认的Key导致恶意用户可以使用其进行卡的信息读取以及修改.（常用默认key见附

录）

命令：hfmfchk0Aa0a1a2a3a4a5含义：检查0区keyA是否为a0a1a2a3a4a5

当回显为is0k:01validkey:a0a1a2a3a4a5就说明存在这个默认key,我们就可以

利用这个默认Key进行区块的读取以及更进一步的操作了。

如果尝试多种默认key均不存在的话，可以用如下方法。

命令：hfmfmifare

当输入命令以后，窗口会显示类似进度状态的“…。”，这个过程有时候快有时候慢，

需要耐心等待。

这样便可获得其中一个Nt的值为524bb6a2o

命令；hfmfmifare524bb6a2

当输入命令后，窗口将再一次进入进度状态，须耐心等待，如果想停止，请按黑色按

钮。

因为基于PRNG的漏洞进行的破解，所以有时候会出现多次Nt的循环，这是很正常

的结果，我们需要不断的利用Nt去进行真正Key的破解。整个过程是漫长而乏味的，所

以我们才需要借用默认Key的检测来减少安全测试的耗时。（关于PRNG漏洞的介绍请自

行上网查询）

最后结果为Foundvalidkey后面的值。

这样我们就对这张卡PRNG破解成功，获取到了key以后就可以对整张卡进行破解测

试了.

这个操作的过程比较短暂，而且前提条件是必乡员存在一个正确的Key进行操作，否

者就无法继续进行。基本上MIFAREClassic的安全测试就已经完成了，而基于一些全加

密或者CPU兼容模式MIFAREClassic（Cryto—1算法）的卡，我们还可以使用嗅探的测

试去进行测试。前提是要记住嗅探模式是需要在正常交互模式下进行的。

2、基于交互模式下的卡片破解

1、正常连接Proxmark3到电脑，进入Proxmark3交互终端。

2、在终端输入命令

命令：hf14asnoop

3、然后将卡片放在天线上，多次读取。

4、当读取完成后等待大约5秒，按下板子上的黑色按钮“（短按，按一下0K了。）此

时板子上的LED灯都灭掉。

5、回到命令终端输入命令.

命令:hfmfIist

如果读取成功，则可以看见如下图显示

然后再利用第三方软件即可算出key值来。（演示软件为craptolguil。01）

如果读取失败，则输入命令以后无数据

附录1常见默认key:0297927c0f77

00000C000000ee0042f88840

bOblb2b3b4b5722bfcc5375f

4d3a99c351ddf1d83f964314

1a982c7e459a4AF9D7ADEBE4

aabbccddeeff2BA9621E0A36

714c5c886e97fc00018778f7

587ee5f9350f00000ffe2488

a0478cc390910297927c0f77

533cb6c723f6ee0042f88840

8fd0a4f256e9000000000001

a64598a77478a0a1a2a3a4a5

26940b21ff5db127c6f41436

fc00018778f712f2ee3478c1

00000ffe248834d1df9934c5

5c598c9c58b555f5a5dd38c9

e4d2770a89bef1a97341a9fc

434f4d4d4f4133f974b42769

434f4d4d4f4214d446e33363

47524f555041c934fe34d934

47524f555042

fc00018778f7

00000ffe2488

附录2部分常用命令与注解:

HeIp主帮助命令

he1p显示帮助

data图形窗口/缓冲区数据操作等等

exit退出Proxniark3的终端环境

hf高频相关命令

hw硬件检测相关命令

If低频相关命令

quit退出Proxmark3的终端环境等同exit

hw硬件相关检测命令

he1p显示帮助

detectreader[']——检测外部读卡器频率区域（选项“1”或

“h”限制到低频LF或高频HF）

fpgaoff设置FPGA为关闭

1cd<16进制命令〉<次数）——发送命令/数据到LCD

Icdreset重置LCD

readmem从芯片中读取10进制地址的存贮器

reset重置Proxmark3

set1fdivisor<19-255>-—在12Mhz/（基数+1）驱动LF天线

setmux〈Ioraw/hiraw/1opkd/hipkd>设置ADC多路艮用器为

一个特定的值

tune测量天线的调谐

version显示Proxmark3的固件版本信息

If低频相关命令

he1p显示帮助

cmdread<off><'0'>cr><命令〉['h']-一在读取之

前发送命令来调整LF读卡器周期（以微妙为单位）（‘h'

选项为134）

em4xEM4X卡类相关命令

f1exdemod解调FlexPass样本

hidHID卡类相关命令

inda1ademod「224']-一解调Indala样本的64位UID（选项’2241

是224位）

indalaclone[UID]['I']—克隆Indala到T55x7卡（标签必

须在天线上）（UID为16进制）（选项'I'表示224位UID）

read['h']——读取125/134kHz的低频ID标签（选项

是134）

sim[GAP]—从可选GAP的缓冲区模拟低频标签（以微秒为

单位）

simbidir模拟低频标签（在读卡器和标签之间双向传输数据）

simman〈时钟><比特率>[GAP]模拟任意曼彻斯特低频标签

tiTI卡类相关命令

hitagHitag标签与应答相关

vchdemod['clone']-解调VeriChip公司样本

t55xxT55xx卡类相关命令

PCF7931PCF7931卡类相关命令

Lfem4x(EM4X类卡相关命令)

he1p显示帮助

em41Oxread［时钟速率］——提取EM410x标签的ID

em41Oxsim<UID>―模拟EM41Ox标签

em41Oxwatch读取EM410x标签，2000次取样获取ID

em41Oxwrite<UID>〈'O'T5555>〈'「T55x7>一把EM410xUID

写入T5555(05)或T55x7标签

em4x5Cread从EM4x50标签中读取数据

readword<Word>一读取EM4xxx字符数据

readwordPWD<Word><Password>——在密码模式下读取EM4xxx字符

数据

writeword<Word>——写入EM4xxx字符数据

writewordPWD(Data)<WordXPassword)--在绘码模式下写入EM4xxx

字符数据

Hf高频相关命令

heIp显示帮助

14aIS014443A卡的相关命令

14bIS014443B卡的相关命令

15IS015693卡的相关命令

epa德国身份证的相关命令

IegicLEGIC卡的相关命令

iclassICLASS卡的相关命令

mfMIFARE卡的相关命令

tune连续测量高频天线的调谐

Hf14a相关命令

heIp显示帮助

Iist列出窃听到的IS014443A类卡与读卡器的通信历史记

录

reader读取IS014443A类卡的UID等数据

cuids收集指定数目的随机UID,显示开始和结束时间

sim<UID>一一模拟IS014443A类标签

snoop窃听IS01