Заготовка OTP UID 7 байт

[Nikol 1]

Всех приветствую.

Так получилось, что у меня есть дамп mifare classic UID 4b который открывал домофон rubetek. Домофон явно работает в режиме совместимости.

Почему открывал? Потому, что UID ключа был прописан в домофоне через личный кабинет управляющей компании. Теперь он удалён т.к. открывал не все двери. В домофоне остались прописаны только семи байтовые UIDы.

Я решил сделать себе ещё один ключ. Для чего на заготовку https://ikey.ru/22600-mfzero7/ записал дамп и семи байтовый UID который домофон точно знает.

К сожалению, не прокатило. Почему, не понимаю, но есть у меня подозрение, что заготовка эта была отфильтрована ридером. Как ридеры распознают заготовки я не знаю, но отснифав проксмарком обмен с новым ключём, я вижу в логе "WRITEBLOCK(83)". Возможно ридер делает попытку записи.

Отсюда вопрос к знатокам: бывают ли заготовки mifare classic с семи байтовыми идентификаторами которые OTP? Может есть иное решение?

Спасибо.

[Pavel 534]

Попытка записи блока 83 что в обычном классике, что в этой заготовке даст одинаковый результат. Дело не в этой команде. У проксмарка есть режим эмуляции. Сделайте его и будет видно, открывает этот дамп или нет.

[a64 1]

У Прокса режимы эмуляции и сниффинга очень сильно зависят от качества антенны и, вероятно, электроники на входе после антенны.

Как я не изгалялся, в режим эмуляции на реальном домофоне так и не смог загнать. В лабораторных условиях, когда на столе прикладывал к Проксу несколько вариантов ручных считывателей, получал лишь какие-то обрывки в листинге.

Качественный сниффинг с помощью простого варианта Прокса получить достаточно трудно. Прокс в большинстве случаев тупо пишет ответы метки. Записать диалог (Rdr-Tag) проблематично.

У меня сложилось впечатление, что аппаратно Easy разновидность Прокса не очень предназначена для этого. 

Действительно, если посмотреть на RDV 4, то там антенна имеет другой форм-фактор. Чаще всего и данные замера HW TUNE сильно различаются.

Я сделал небольшой датчик поля и собрал на столе мини-полигончик. В качестве ридера выступает RC522. 

Так вот.  При внесении антенны Прокса в зону антенны ридера поле сильно ослабевает. Т.е. антенна Прокса его просто поглощает.

Тема мне показалась интересной, жду сейчас, пока привезут "на побаловаться" осцилограф, датчики ближнего поля и тому подобное барахло.
Может быть, удастся немного копнуть тему.

 

[Nikol 1]

Пришёл к выводу, что проксмарк с прошивкой от ICEMAN очень глючная штука. По совету Павла решил загнать в эмулятор дамп и попробовать открыть:

[usb] pm3 -->hf mf dump --keys hf-mf-XXXXXX-key.bin

[!] Invalid dump. UID/SAK/ATQA not found

при этом:

[usb] pm3 --> hf mf info

[=] --- ISO14443-a Information ---------------------
[+]  UID: XX XX XX XX XX XX XX
[+] ATQA: 00 44
[+]  SAK: 08 [2]

 

Это последняя прошивка от ICEMAN.

[Nikol 1]

2 часа назад, a64 сказал:

У Прокса режимы эмуляции и сниффинга очень сильно зависят от качества антенны и, вероятно, электроники на входе после антенны.

Подозреваю, что качество может быть разным на разных экземплярах. Вам возможно не повезло. Я со своего изи получаю дам в котором есть и ридер и метка а hf mf sim -x вынимает из домофона верные данные для получения ключей от секторов через mfkey32v2.

Вот с эмуляцией дампа сегодня облом получился, попробую старые прошивки.

[a64 1]

10 минут назад, Nikol сказал:

Подозреваю, что качество может быть разным на разных экземплярах. Вам возможно не повезло.

Это весьма возможно. Жаль только, не с чем сравнить. Покупать еще один  - смешно, а у ближайшего окружения еще одного экземпляра нет.

LF диапазон у моего Изи работает хорошо. Я делал к нему отдельную выносную антенну, даже улучшил параметры.

А вот антенный коэффициент у HF довольно низок, порядка 10 в.

Возможно, в моем конкретно экземпляре (версии изготовления) применены "альтернативные" элементы. Смешно, но их даже лазером обработали, чтобы не читались обозначения. Я подозреваю, что китайские изготовители собирают младшие версии Проксов из чего есть под рукой. И у каждого - свой вариант исполнения и схемного решения Изи. 
Надо честно сказать, что кроме сниффинга и эмуляции у меня нет претензий к данному девайсу. Может быть, придется заменить операционник в ВЧ участке на тот, что в оригинальной версии. Или попытаться построить свою ВЧ антенну.

 

И таки да, не написал предыдущем посте. Есть разница между притащить хост (в худшем случае ноут) + кабель + Прокс и тыкать им в ридер на улице. Или иметь автономный портатив с батарейным питанием (вынул девайс с пачку сигарет из кармана, приложил к ридеру и ушел).

Айсман, правды ради сказать, не так давно сделал возможность перешить Изи в почти автоном для сниффинга, но... Тут уже "капитан Целесообразность" крутит пальцем у виска.

[Nikol 1]

Закончил на сегодня эксперименты, итог:

1) в эмулятор прокса метку с нужными данными залил, Mifare Classic Tool на телефоне читает эмулятор правильно

2) домофон не открывается

Вот что думаю... Судя по трейсу который собирается, ридер читает из блока отличного от нулевого. Выходит подмена UIDа на знакомый домофону прокатила? Зачем читать что то ещё если UID не верный? Если так, выходит ему не понравились данные в блоке отличном от 0. Возможно что то изменилось за те пару лет которые прошли с момента когда ключ с UID 4b работал. Больше идей нет.

Павел, спасибо за подсказку про эмулятор.

[a64 1]

11 минут назад, Nikol сказал:

Зачем читать что то ещё если UID не верный?

UID можно вообще не использовать при аутентификации тэга.

Формально можно читать данные из какого либо блока (блоков) и пользоваться только ими.

 

[OBGuy 10]

Проксмарк - чудо техники, если конечно его приручить.

 

Всё что я увидел это что есть запись на 7-байтный UID.

Есть ли дамп оригинала?

Если есть, то можно максимально разборчивый trace-файл между меткой и рубетеком? На один жёлтый запрос считывателя ровно один белый ответ метки. Сохранить можно с "trace save -f rubetek7b". Кладите метку на проксмарк, а его на считыватель.

Если снифф неразборчивый - как выглядит плата? Главное - увидеть чип FPGA (самый большой) и гравировки на нём.

 

Про Write(83) - может вам "повезло"  и зашифрованные данные образовали "A053", хоть и подразумевалось другое.

[senyasorokin 6]

4 часа назад, Nikol сказал:

Подозреваю, что качество может быть разным на разных экземплярах. Вам возможно не повезло. Я со своего изи получаю дам в котором есть и ридер и метка а hf mf sim -x вынимает из домофона верные данные для получения ключей от секторов через mfkey32v2.

Вот с эмуляцией дампа сегодня облом получился, попробую старые прошивки.

А зачем симуляцией вынимать данные для последующего расчета ключа, если оригинальная карта под рукой? Почему просто не снифернуть и готовый ключ не посмотреть через hf mf list ? Он же там сразу дешифрованный показывает. 

[Nikol 1]

1 час назад, a64 сказал:

UID можно вообще не использовать при аутентификации тэга.

Формально можно читать данные из какого либо блока (блоков) и пользоваться только ими.

 

Этот домофон точно хранит UIDы разрешённых ключей.

[Nikol 1]

20 часов назад, OBGuy сказал:

Проксмарк - чудо техники, если конечно его приручить.

 

Всё что я увидел это что есть запись на 7-байтный UID.

Есть ли дамп оригинала?

Если есть, то можно максимально разборчивый trace-файл между меткой и рубетеком? На один жёлтый запрос считывателя ровно один белый ответ метки. Сохранить можно с "trace save -f rubetek7b". Кладите метку на проксмарк, а его на считыватель.

Если снифф неразборчивый - как выглядит плата? Главное - увидеть чип FPGA (самый большой) и гравировки на нём.

 

Про Write(83) - может вам "повезло"  и зашифрованные данные образовали "A053", хоть и подразумевалось другое.

Отснифал обмен ридера и Mifare plus как я понимаю в режиме эмуляции Mifare classic, UID заменил на XX дабы УК не спалила.

Подскажите пожалуйста, что означает RATS - FSDI=8, CID=1 и PPS - CID=1 ? А думаю должен читаться 0 блок из 8го сектора, но байт не хватает.

      Start |        End | Src | Data (! denotes parity error)                                           | CRC | Annotation
------------+------------+-----+-------------------------------------------------------------------------+-----+--------------------
          0 |       1056 | Rdr |26(7)                                                                    |     | REQA
       2244 |       4612 | Tag |44  00                                                                   |     |
     206640 |     209104 | Rdr |93  20                                                                   |     | ANTICOLL
     210292 |     216180 | Tag |88  XX  XX  XX  fd                                                       |     |
     820976 |     831440 | Rdr |93  70  88  XX  XX  XX  fd  79  96                                       |  ok | SELECT_UID
     832692 |     836212 | Tag |04  da  17                                                               |  ok |
    1172656 |    1175120 | Rdr |95  20                                                                   |     | ANTICOLL-2
    1176308 |    1182196 | Tag |XX  XX  XX  XX  c2                                                       |     |
    1560624 |    1571152 | Rdr |95  70  XX  XX  XX  XX  c2  8e  dc                                       |  ok | SELECT_UID-2
    1572340 |    1575924 | Tag |20  fc  70                                                               |  ok |
    1933216 |    1937984 | Rdr |e0  81  b8  62                                                           |  ok | RATS - FSDI=8, CID=1
    1939156 |    1955412 | Tag |0c  75  77  80  02  c1  05  21  30  00  77  c1  60  d3                   |  ok |
    2394944 |    2400864 | Rdr |d1  11  05  23  ab                                                       |  ok | PPS - CID=1
    2402068 |    2405588 | Tag |d1  fa  96                                                               |  ok |
   11817872 |   11818928 | Rdr |26(7)                                                                    |     | REQA
   11820100 |   11822468 | Tag |44  00                                                                   |     |
   12139136 |   12141600 | Rdr |93  20                                                                   |     | ANTICOLL
   12142804 |   12148692 | Tag |88  XX  XX  XX  fd                                                       |     |
   12554432 |   12564896 | Rdr |93  70  88  XX  XX  XX  fd  79  96                                       |  ok | SELECT_UID
   12566164 |   12569684 | Tag |04  da  17                                                               |  ok |
   12891680 |   12894144 | Rdr |95  20                                                                   |     | ANTICOLL-2
   12895348 |   12901236 | Tag |XX  XX  XX  XX  c2                                                       |     |
   13348960 |   13359488 | Rdr |95  70  XX  XX  XX  XX  c2  8e  dc                                       |  ok | SELECT_UID-2
   13360676 |   13364260 | Tag |20  fc  70                                                               |  ok |
   13752432 |   13757200 | Rdr |e0  81  b8  62                                                           |  ok | RATS - FSDI=8, CID=1
   13758388 |   13774644 | Tag |0c  75  77  80  02  c1  05  21  30  00  77  c1  60  d3                   |  ok |
   14336240 |   14342160 | Rdr |d1  11  05  23  ab                                                       |  ok | PPS - CID=1
   14343348 |   14346868 | Tag |d1  fa  96                                                               |  ok |
   23628240 |   23629296 | Rdr |26(7)

 

зы: не понимаю, где обмен одноразовыми цифрами? Дверь открывается.

[petr5555 268]

37 минут назад, Nikol сказал:

Отснифал обмен ридера и Mifare plus как я понимаю в режиме эмуляции Mifare classic, UID заменил на XX дабы УК не спалила.

Подскажите пожалуйста, что означает RATS - FSDI=8, CID=1 и PPS - CID=1 ? А думаю должен читаться 0 блок из 8го сектора, но байт не хватает.

   

 

зы: не понимаю, где обмен одноразовыми цифрами? Дверь открывается.

 

Конечно не понимаете.

Получите сначала нормальный дамп....

Пока, как видно из вашего, вы просто читаете UID....

 

А что вы подразумеваете под "одноразовыми цифрами"?

 

[Nikol 1]

17 минут назад, petr5555 сказал:

 

Конечно не понимаете.

Получите сначала нормальный дамп....

Пока, как видно из вашего, вы просто читаете UID....

 

А что вы подразумеваете под "одноразовыми цифрами"?

 

В этом дампе всё что есть, дальше он просто повторяет в цикле то что я приложил, дверь открывается.

Под "одноразовыми цифрами" я понимаю обмен между ридером и меткой который используется для вычисления ключа от сектора.

Я думаю, если MIfare plus в режиме эмуляции Mifare classic (SAK 20, ATQA 0044),  то авторизация для чтения блока тоже должна быть. Но больше ничего нет.

Это я снифал свою карту, которую получил при заселении.

[OBGuy 10]

1 час назад, Nikol сказал:

Отснифал обмен ридера и Mifare plus как я понимаю в режиме эмуляции Mifare classic, UID заменил на XX дабы УК не спалила.

Подскажите пожалуйста, что означает RATS - FSDI=8, CID=1 и PPS - CID=1 ? А думаю должен читаться 0 блок из 8го сектора, но байт не хватает.

      Start |        End | Src | Data (! denotes parity error)                                           | CRC | Annotation
------------+------------+-----+-------------------------------------------------------------------------+-----+--------------------
          0 |       1056 | Rdr |26(7)                                                                    |     | REQA
       2244 |       4612 | Tag |44  00                                                                   |     |
     206640 |     209104 | Rdr |93  20                                                                   |     | ANTICOLL
     210292 |     216180 | Tag |88  XX  XX  XX  fd                                                       |     |
     820976 |     831440 | Rdr |93  70  88  XX  XX  XX  fd  79  96                                       |  ok | SELECT_UID
     832692 |     836212 | Tag |04  da  17                                                               |  ok |
    1172656 |    1175120 | Rdr |95  20                                                                   |     | ANTICOLL-2
    1176308 |    1182196 | Tag |XX  XX  XX  XX  c2                                                       |     |
    1560624 |    1571152 | Rdr |95  70  XX  XX  XX  XX  c2  8e  dc                                       |  ok | SELECT_UID-2
    1572340 |    1575924 | Tag |20  fc  70                                                               |  ok |
    1933216 |    1937984 | Rdr |e0  81  b8  62                                                           |  ok | RATS - FSDI=8, CID=1
    1939156 |    1955412 | Tag |0c  75  77  80  02  c1  05  21  30  00  77  c1  60  d3                   |  ok |
    2394944 |    2400864 | Rdr |d1  11  05  23  ab                                                       |  ok | PPS - CID=1
    2402068 |    2405588 | Tag |d1  fa  96                                                               |  ok |
   11817872 |   11818928 | Rdr |26(7)                                                                    |     | REQA
   11820100 |   11822468 | Tag |44  00                                                                   |     |
   12139136 |   12141600 | Rdr |93  20                                                                   |     | ANTICOLL
   12142804 |   12148692 | Tag |88  XX  XX  XX  fd                                                       |     |
   12554432 |   12564896 | Rdr |93  70  88  XX  XX  XX  fd  79  96                                       |  ok | SELECT_UID
   12566164 |   12569684 | Tag |04  da  17                                                               |  ok |
   12891680 |   12894144 | Rdr |95  20                                                                   |     | ANTICOLL-2
   12895348 |   12901236 | Tag |XX  XX  XX  XX  c2                                                       |     |
   13348960 |   13359488 | Rdr |95  70  XX  XX  XX  XX  c2  8e  dc                                       |  ok | SELECT_UID-2
   13360676 |   13364260 | Tag |20  fc  70                                                               |  ok |
   13752432 |   13757200 | Rdr |e0  81  b8  62                                                           |  ok | RATS - FSDI=8, CID=1
   13758388 |   13774644 | Tag |0c  75  77  80  02  c1  05  21  30  00  77  c1  60  d3                   |  ok |
   14336240 |   14342160 | Rdr |d1  11  05  23  ab                                                       |  ok | PPS - CID=1
   14343348 |   14346868 | Tag |d1  fa  96                                                               |  ok |
   23628240 |   23629296 | Rdr |26(7)

 

зы: не понимаю, где обмен одноразовыми цифрами? Дверь открывается.

А может, вы ничего и не увидели бы.

 

По ATS это Plus SE. По SAK - в SL3.

Команда PPS меняет скорость передачи данных с 106 Кбит/с. Всё, кроме этой скорости, проксмарк услышать не сможет.

 

Ну и там однозначно аутентификация по AES, т.к. другого запросить не выйдет.

[petr5555 268]

32 минуты назад, Nikol сказал:

В этом дампе всё что есть, дальше он просто повторяет в цикле то что я приложил, дверь открывается.

Под "одноразовыми цифрами" я понимаю обмен между ридером и меткой который используется для вычисления ключа от сектора.

Я думаю, если MIfare plus в режиме эмуляции Mifare classic (SAK 20, ATQA 0044),  то авторизация для чтения блока тоже должна быть. Но больше ничего нет.

Это я снифал свою карту, которую получил при заселении.

А почему вы уверены, что считыватель должен куда то обращаться ?

Возможно что работа вашего СКУД происходит просто по UID....

Для чтения UID никакой авторизации не надо.

 

[Nikol 1]

6 минут назад, petr5555 сказал:

А почему вы уверены, что считыватель должен куда то обращаться ?

Возможно что работа вашего СКУД происходит просто по UID....

 

 

Потому, что если через проксмарк эмулировать Mifare classic 7b UID, видно, что ридер читает содержимое блоков 32 и 48. В трейсе даже ключи видны от этих двух секторов.

Как я писал в своём самом первом посте, с UIDом я уже пробовал.

[Nikol 1]

34 минуты назад, OBGuy сказал:

А может, вы ничего и не увидели бы.

 

По ATS это Plus SE. По SAK - в SL3.

Команда PPS меняет скорость передачи данных с 106 Кбит/с. Всё, кроме этой скорости, проксмарк услышать не сможет.

 

Ну и там однозначно аутентификация по AES, т.к. другого запросить не выйдет.

Спасибо за разъяснение.

[petr5555 268]

1 минуту назад, Nikol сказал:

Потому, что если через проксмарк эмулировать Mifare classic 7b UID, видно, что ридер читает содержимое блоков 32 и 48. В трейсе даже ключи видны от этих двух секторов.

Как я писал в своём самом первом посте, с UIDом я уже пробовал.

Ну так если видны эти ключи, то пробовали читать исходный ключ ?

[Nikol 1]

2 минуты назад, petr5555 сказал:

Ну так если видны эти ключи, то пробовали читать исходный ключ ?

Пробовал: [#] Auth error

[petr5555 268]

37 минут назад, Nikol сказал:

Пробовал: [#] Auth error

Что тут скажешь.

Значит это не те ключи доступа....

Можете попробовать получить несколько неполных аутентификаций

и по ним вычислить ключи....

[Nikol 1]

32 минуты назад, petr5555 сказал:

Что тут скажешь.

Значит это не те ключи доступа....

Можете попробовать получить несколько неполных аутентификаций

и по ним вычислить ключи....

Это те же ключи, которые в дампе двух-годовалой давности. Они от чипа Mifare classic 4b UID который открывал. Они же вычисляются через mfkey32v2 Их наличие не помогает.

 

[a64 1]

А как у вас Прокс эту заготовку определяет ? 

 

 

[Uilyi 61]

2 часа назад, Nikol сказал:

Это те же ключи, которые в дампе двух-годовалой давности. Они от чипа Mifare classic 4b UID который открывал. Они же вычисляются через mfkey32v2

Чёт не пойму, вам на 2 совершенно разных UID-а домофон дает одни и те же криптоключи? Или вы к новому 7b UID-у просто подставили криптоключи из другого дампа?

 

[Nikol 1]

8 минут назад, Uilyi сказал:

Чёт не пойму, вам на 2 совершенно разных UID-а домофон дает одни и те же криптоключи? Или вы к новому 7b UID-у просто подставили криптоключи из другого дампа?

 

Я пробовал в дамп 4b UID который точно работал, добавить 7b UID который прописан в ридере.