RFID之M1卡数据分析资料.pdfVIP

0x01 契机 一直没有机会也没下定决心认真的去研究某个安全领域， 很早之前就看到好多人研究 RFID， 一直很憧憬那片天空，趁着老大给机会，决定选这个方向作为个人业余努力的方向。 差不 多四天前入手了 ACR122U，决定拿自己母校的餐厅饭卡练手。 ACR122U的使用很简单， 只要 安装上驱动， 使用 M1卡服务程序就可以很快破解， 破解完成后查看其生成的 dump文件， 找 到加密扇区的密码，将密码导入到 MCT(Mifare Classic Tool) ，剩下的就可以完全使用 MCT 完成了，个人很怀疑破解过程是否完全可以通过手机（支持 NFC）APP完成。 ACR122U的详 细使用过程可以参考： RFID 安全之某学校水卡破解，本文主要介绍目前 M1卡中的数据分析 和 M1卡安全防护方案。 0x02 背景知识 了解 M1卡的结构可以知道 M1卡共 16 个扇区，编号从 0 到 15，每个扇区配备了从 0 到 3 共 4 个段，每个段可以保存 16 字节的内容。 0x03 数据分析 阅读《 RFID 安全之某学校水卡破解》可以发现该学校的水卡中数据存储比较简单，按 照作者的分析， 4 号扇区的 1、2 号数据段（编号从 0 开始）存储了水卡余额，将已知的余 额 32.31 ，换算为分为 3231 ，再转为 10 进制为 C9F，即 00000C9F，而 0C9F 取反为 FFFFF360， 这时比较下 4 号扇区的值， 很容易发现规律： 前四个字节不取反倒序 （9F0C0000）存储余额， 接下来四个字节取反倒序 （60F3FFFF）存储余额， 再接下来四个字节不取反倒序 （9F0C0000） 存储余额。 上面提到的“倒序”，可以结合计算机数据存储方式来理解：如下图所示，变量 a 存 储的数据对应的 16 进制为 0A112233，变量 b 存储的数据对应的 16 进制为 0B445566。 这样就很明显了， 5634120A，就是变量 a 所代表的数据的十六进制 0A123456 的倒序。 作为入门教程，个人认为《 RFID 安全之某学校水卡破解》是非常不错的。看完这个教程， 并实践结束后，我停下来思考这样一个问题： M1卡的密码破解是傻瓜式的，当然也有文章 介绍破解原理， 但是作为门外汉，目前我还不是特别关心，我只想找到那种破解成功， 可以 修改金额的快感！那么在整个 M1卡的破解过程中，我自己到底起了什么作用？答案是卡片 的数据分析。 《RFID 安全之某学校水卡破解》中的数据分析并不难，只要知道水卡的余额 就可以定位卡片中余额数据的存储位置， 细心的读者肯定可以发现文中的截图 5 号扇区也存 在非 0 值块，作者在《 RFID 安全之某学校水卡破解后记——不留后患》中作了进一步分析； 《任意修改学校食堂饭卡余额》这篇文章所描述的卡片和《 RFID 安全之某学校水卡破解》 的分析非常相似；而另一篇《破解学校水卡 |||RFID Hack 初探 》文中的数据就更简单 了，只有余额和消费金额之和，连取反的校验都没做。 分析了几篇图文教程式入门文章， 加上自己的实际破解过程，总结了一下数据分析的经验。 首先，需要收集信息，然后可以 通过数据比对法定位余额，如果卡片数据采取了校验保护，可以采用试错法进行排查定位， 正如《 RFID 安全之