Опубликовано 14 августа, 202414 авг comment_56990 Всем доброго дня. В теме совсем недавно, поэтому просьба сильно не пинать. Задача: есть брелок СКУДа спорт-клуба; носить с собой неудобно, поэтому хочу клонировать в более носибельный вид (например кольцо jakcom r4). В наличии: сам брелок Mifare Classic 1K, ChameleonUltra (c GUI и CLI под него от Proxmark3 под Винду), Android с MCT и TAGinfo. Вот что удалось получить на данный момент: Цитата Report Type: -- IC INFO ------------------------------ # IC Manufacturer: Unknown Manufacturer # IC Type: Unknown MIFARE Classic IC, possibly cloned -- NDEF ------------------------------ # No NDEF Data Storage Populated: -- EXTRA ------------------------------ # Memory Information: 1 kB * 16 sectors, with 4 blocks per sector * 64 blocks, with 16 bytes per block # Block 0 analysis: UID: 12:2D:42:36 * NXP Semiconductors Check Byte: 0x4B SAK: 0x08 (ERROR) ATQA: 0x0400 Manufacturer data: * 04 7C 32 5B BD 3E AE 90 |.|2[.>..| # TagInfo Version: Version :5.0.0 # Device Info: Device Model :Google ( Pixel 8 ) Android OS Version :14 -- FULL SCAN ------------------------------ # Technologies Supported: ISO/IEC 14443-3 (Type A) compatible # Android Technology Information: Tag description: * TAG: Tech [android.nfc.tech.NfcA, android.nfc.tech.MifareClassic, android.nfc.tech.NdefFormatable] * Maximum transceive length: 253 bytes * Default maximum transceive time-out: 618 ms # Detailed Protocol Information: ID: 12:2D:42:36 ATQA: 0x0400 SAK: 0x08 # Memory Content: Sector 0 (0x00) [00] r-- 12 2D 42 36 4B 08 04 00 04 7C 32 5B BD 3E AE 90 |.-B6K....|2[.>..| [01] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [02] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [03] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 1 (0x01) [04] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [05] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [06] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [07] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 2 (0x02) [08] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [09] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [0A] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [0B] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 3 (0x03) [0C] rwi 50 00 03 00 12 2D 42 36 0B 31 00 00 00 00 00 00 |P....-B6.1......| [0D] rwi 0F 04 F8 32 00 00 00 01 00 00 00 00 00 01 3B 4A |...2..........;J| [0E] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [0F] wxx A5:A4:A3:A2:A1:A0 FF:07:80 00 FF:FF:FF:FF:FF:FF MAD access key (reversed) Factory default key (readable) Sector 4 (0x04) [10] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [11] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [12] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [13] ??? XX:XX:XX:XX:XX:XX --:--:-- -- XX:XX:XX:XX:XX:XX (unknown key) (unknown key) Sector 5 (0x05) [14] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [15] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [16] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [17] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 6 (0x06) [18] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [19] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [1A] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [1B] ??? XX:XX:XX:XX:XX:XX --:--:-- -- XX:XX:XX:XX:XX:XX (unknown key) (unknown key) Sector 7 (0x07) [1C] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [1D] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [1E] ??? -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- [1F] ??? XX:XX:XX:XX:XX:XX --:--:-- -- XX:XX:XX:XX:XX:XX (unknown key) (unknown key) Sector 8 (0x08) [20] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [21] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [22] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [23] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 9 (0x09) [24] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [25] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [26] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [27] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 10 (0x0A) [28] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [29] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [2A] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [2B] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 11 (0x0B) [2C] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [2D] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [2E] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [2F] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 12 (0x0C) [30] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [31] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [32] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [33] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 13 (0x0D) [34] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [35] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [36] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [37] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 14 (0x0E) [38] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [39] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [3A] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [3B] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Sector 15 (0x0F) [3C] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [3D] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [3E] rwi 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................| [3F] wxx FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF Factory default key Factory default key (readable) Все (сам хамелеон, MCT, TAGinfo) дают одинаковый результат: из библиотеки подбирается ключ 3го блока A5:A4:A3:A2:A1:A0 и все. В 3м блоке еще смущает FF:07:80:00 вместо стандартных FF:07:80:69. Как это влияет на работу с ключами? Дальше через CLI от Pm3 заточенный под Хамелеон пытаюсь найти остальные ключи. Но... Darkside выдает ошибку: Nested работает как-то странно (во всех мануалах лог выглядит не таким скупым) и ничего не пытается находить (ну или пытается, но очень скромно и неохотно): Никаких autopwn, hardnested и т.п. в этой консоли под Хамелеона нет. Видимо сильно все урезано. Подскажите, куда дальше копать. Возможно, я в nested не совсем правильно понимаю какие ключи указывать. Но пробовал разные варианты (и с --blk 0 -k ffffffffffff). Варианты имеющихся команд:
Опубликовано 14 августа, 202414 авг Автор comment_56991 Если кому интересно, на jakcom r4 сейчас удачно записан (и проверен) домофонный EM410x и "недоделанный" дамп, о котором писал выше. В таком виде он даже читается (в том же виде, в каком и был записан), поэтому при удачном исходе должно все работать. На кольце помимо этих 2 антенн, еще есть 2 NFC (пока не придумал для чего применить): В сравнении с обычным 125KHz кольцом, намного больше:
Опубликовано 14 августа, 202414 авг comment_56997 В 14.08.2024 в 09:00, OSZM сказал: Если кому интересно, на jakcom r4 сейчас удачно записан (и проверен) домофонный EM410x и "недоделанный" дамп, о котором писал выше. В таком виде он даже читается (в том же виде, в каком и был записан), поэтому при удачном исходе должно все работать. Может будет, а может и нет. Вообще у вас ещё есть три закрытых сектора.... И если атаки не проходят, то тут только идти к считывателю и вытягивать нужную для расчёта ключей информацию...
Опубликовано 14 августа, 202414 авг Автор comment_56998 В 14.08.2024 в 13:54, petr5555 сказал: И если атаки не проходят, то тут только идти к считывателю и вытягивать нужную для расчёта ключей информацию... А есть шанс, что например железный Proxmark3 с его дополнительными вариантами атак сможет справиться без похода к считывателю? Дойти конечно не проблема, но я не уверен, что Хамелеон мне поможет. Пишут, что у него вроде есть вариант записи ключей от считывателя. Но насколько это рабочий вариант, пока непонятно.
Опубликовано 14 августа, 202414 авг comment_57002 В 14.08.2024 в 14:12, OSZM сказал: А есть шанс, что например железный Proxmark3 с его дополнительными вариантами атак сможет справиться без похода к считывателю? Дойти конечно не проблема, но я не уверен, что Хамелеон мне поможет. Пишут, что у него вроде есть вариант записи ключей от считывателя. Но насколько это рабочий вариант, пока непонятно. Ну шанс есть, если это старый чип... Нет такого понятия как "запись ключей от считывателя". Записывается информация, которой считыватель и ключ обмениваются при аутентификации и на её основе рассчитывают ключ доступа.
Опубликовано 15 августа, 202415 авг comment_57005 Я бы предложил вам попробовать поработать с приложениями для хамелеона на андроид. Есть приложение Chameleon Ultra GUI. Еще есть приложение MTools BLE в котором вроде заявлена работа с Chameleon Ultra. Посмотрите в каком из них есть захват данных от считывателя (в выборе типа ключа должен быть параметр "MF Detection" - это оно и есть). При работе с Chameleon Tiny и приложением под него процесс выглядел так: считываем UID с оригинальной карты, выбираем MF Detection, отправляем UID и команду в хамелеон, подносим его ненадолго к считывателю. Жмём "Crack". После расчёта криптоключа всплывает новое окно в котором высвечивается полученный криптоключ, и если, пока это окно активно, к NFC телефона поднести оригинальный ключ, то приложение начнёт его взламывать. По крайней мере те секторы которые необходимы для работы. Так же можете установить приложение MTools (просто, без BLE, это разные приложения). В нём есть возможность используя NFC телефона по известным криптоключам получить некоторые другие, неизвестные. Один у вас (A5:A4:A3:A2:A1:A0) вроде уже есть. Интерфейс там конечно кривоват, всё приходится делать методом тыка. Сначала нужно добавить карту считав UID. Потом заходите в неё, там ещё раз нажимаете "читать с карты" и появится окно со списком криптоключей слева. Вписываете туда свой известный криптоключ (а если получите хамелеоном ещё один - то и его тоже). Прикладываете ключ к NFC и нажимаете "Читать ТЕГ". Для удобства, чтобы собрать дамп ключа, я бы посоветовал использовать либо iKeyBase для ПК, либо iKeyExpress для андроид. В них есть возможность выгрузить собранный ключ в файл, который потом можно скормить хамелеону для последующей записи.
Опубликовано 15 августа, 202415 авг Автор comment_57012 В 15.08.2024 в 04:04, Uilyi сказал: Я бы предложил вам попробовать... Спасибо за идеи. Захват данных и имел ввиду, когда писал про "запись ключей от считывателя". Да, Chameleon Ultra умеет. Процедура немного другая: Короче, что в итоге... По месту с удивлением обнаружил, что кольцо, на которое был записан недоделанный дамп (см. средний вариант на картинке ниже), работает на турникете и открывает остальные двери. Единственное место, где не работало - шкафчик в раздевалке. Там и потыкал Хамелеоном. На картинке выше как раз то, что он поймал. С этим ключом открылись 6 и 7 сектора. С 4-м он так и не справился. Пробовал через консоль пихать новые ключи в nested. Толку - ноль. Похоже, что от консоли на данный момент Хамелеону пользы никакой. Ну или дело в китайском клоне. С Mtools я так и не разобрался. Там еще и денег хотят за расширенную версию. Попробовал через MTools BLE подключиться к Хамелеону. Добавил известные ключи, прочитал. И, нифига себе! Почти моментально там открылся 4й блок с новым ключом. Я хз как он это делает и почему родной софт не смог... К слову, в родном софте после считывания с использованием всех известных ключей, есть кнопка Recovery Keys. Она наверное час бес толку крутила 4й блок (пробовал и на компе и на телефоне). Ждать надоело, выключил. И, кстати, потом уже нашел инструкцию, как снифить данные на Chameleon Ultra через MTools BLE - ВОТ. Так вообще можно забить на родной софт. Кратко, история выглядит так (картинки из MCT, как более наглядные): В работе пока не пробовал. Как проверю, отпишусь. Записал на кольцо и, на всякий случай, оставил 1 ячейку Хамелеона в режиме снифа.
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.