0×00 前言
RFID是Radio Frequency Identification的縮寫,術語為射頻識別,俗稱電子標簽。按照工作頻率的不同,RFID標簽可以分為低頻(LF)、高頻(HF)、超高頻(UHF)和微波等不同種類。目前國際上廣泛采用的頻率分布於4種波段,低頻(125KHz)、高頻(13.54MHz)、超高頻(850MHz~910MHz)和微波(2.45GHz)。
目前在實際應用中,比較常用的是13.56MHz、860MHz~960MHz、2.45GHz等頻段。近距離RFID系統主要使用125KHz、13.56MHz等LF和HF頻段,技術最為成熟;遠距離RFID系統主要使用433MHz、860MHz~960MHz等UHF頻段,以及2.45GHz、5.8GHz等微波頻段,目前還多在測試當中,沒有大規模應用。
低頻:
低頻段射頻標簽,簡稱為低頻標簽,其工作頻率范圍為30kHz~300kHz。典型工作頻率有125KHz和133KHz。
低頻標簽一般為無源標簽,其工作能量通過電感耦合方式從閱讀器耦合線圈的輻射近場中獲得。低頻標簽與閱讀器之間傳送數據時,低頻標簽需位於閱讀器天線輻射的近場區內。
低頻標簽的閱讀距離一般情況下小於1米。
中高頻:
中高頻段射頻標簽的工作頻率一般為3MHz~30MHz。典型工作頻率為13.56MHz。根據無線電頻率的一般划分,這一工作頻段又稱為高頻,所以也常將其稱為高頻標簽。
中頻標簽的閱讀距離一般情況下也小於1米。中頻標簽由於可方便地做成卡狀,廣泛應用於電子車票、電子遙控門鎖控制器、小區物業管理、大廈門禁系統等。
0×01 PM3常用命令
1.1常用類
help 顯示幫助. hw help 與 hw 是等價的。 data 圖形窗口/緩沖區數據操作等等 exit 退出Proxmark3的終端環境 hf 高頻相關命令 hw 硬件檢測相關命令 lf 低頻相關命令 quit 退出Proxmark3的終端環境等同exit hw tune 顯示天線調諧 hw ver 顯示硬件(固件)版本
1.2 low Frequency 低頻類(LF)
lf 低頻相關命令 help 顯示幫助 cmdread <off> <'0'> <'1'> <命令> ['h'] -- 在讀取之前發送命令來調整LF讀卡器周期(以微妙為單位)('h'選項為134) em4x EM4X卡類相關命令... flexdemod 解調FlexPass樣本 hid HID卡類相關命令... indalademod ['224'] --解調Indala樣本的64位UID(選項'224'是224位) indalaclone [UID] ['l']-- 克隆Indala到T55x7卡 (標簽必須在天線上)(UID為16進制)(選項'l'表示224位UID) read ['h'] -- 讀取125/134 kHz的低頻ID標簽(選項'h'是134) sim [GAP] -- 從可選GAP的緩沖區模擬低頻標簽(以微秒為單位) simbidir 模擬低頻標簽(在讀卡器和標簽之間雙向傳輸數據) simman <時鍾> <比特率> [GAP] 模擬任意曼徹斯特低頻標簽 ti TI卡類相關命令... hitag Hitag標簽與應答相關… vchdemod ['clone'] - 解調VeriChip公司樣本 t55xx T55xx卡類相關命令... PCF7931 PCF7931卡類相關命令...
1.3 High Frequency 高頻類(HF)
hf 高頻相關命令 help 顯示幫助 14a ISO14443A卡的相關命令... 14b ISO14443B卡的相關命令... 15 ISO15693卡的相關命令... epa 德國身份證的相關命令... legic LEGIC卡的相關命令... iclass ICLASS卡的相關命令... mf MIFARE卡的相關命令... tune 連續測量高頻天線的調諧
1.3.1 hf 14a 【ISO14443A卡的相關命令】
hf 14a help 顯示幫助 hf 14a list 列出竊聽到的ISO14443A類卡與讀卡器的通信歷史記錄 hf 14a reader 讀取ISO14443A類卡的UID等數據 hf 14a cuids 收集指定數目的隨機UID,顯示開始和結束時間。 hf 14a sim <UID> -- 模擬ISO14443A類標簽 hf 14a snoop 竊聽ISO14443A類卡與讀卡器的通信數據 hf 14a raw 使用RAW格式命令發送指令到標簽
1.3.2 hf 14b 【ISO14443B卡的相關命令】
hf 14b help 顯示幫助 hf 14b demod 調制ISO14443B協議的標簽 hf 14b list 列出竊聽到的ISO14443B類卡與讀卡器通信歷史記錄 hf 14b read 讀取ISO14443B類卡的信息 hf 14b sim 模擬ISO14443B類標簽 hf 14b simlisten 從高頻樣本中模擬ISO14443B類標簽 hf 14b snoop 監聽ISO14443B類卡與讀卡器之間的通信數據 hf 14b sri512read <int> -- 讀取SRI512標簽的內容 hf 14b srix4kread <int> -- 讀取SRIX4K標簽的內容 hf 14b raw 使用RAW格式命令發送指令到標簽
1.3.3 hf 15 【ISO15693卡的相關命令】
hf 15 (ISO15693卡的相關命令...) hf 15 help 顯示幫助 hf 15 demod 調制ISO15693協議的標簽 hf 15 read 讀取ISO15693類卡的信息 hf 15 record 記錄ISO15693標簽樣本 hf 15 reader 作為ISO15693卡類的讀卡器,讀取UID等信息 hf 15 sim 模擬ISO15693協議的標簽 hf 15 cmd 向ISO15693協議的標簽直接發送命令 hf 15 findafi 暴力一個ISO15693標簽的AFI hf 15 dumpmemory 讀取ISO15693標簽的所有頁內存數據
1.3.4 hf iclass 【ICLASS卡的相關命令】
hf iclass help 顯示幫助
hf iclass list 列出竊聽到的iClass類卡與讀卡器的通信歷史記錄
hf iclass snoop 竊聽iClass類卡與讀卡器的通信數據
hf iclass sim 模擬iClass標簽
hf iclass reader 讀取iClass標簽
1.3.5 hf mf 【MIFARE卡的相關命令】
hf mf help 顯示幫助 hf mf dbg 設置默認調試模式 hf mf rdbl 讀取MIFARE classic卡的區塊數據 hf mf rdsc 讀取MIFARE classic卡的扇區數據 hf mf dump 導出MIFARE classic卡的數據到二進制文件 hf mf restore 從二進制文件恢復數據到空白的MIFARE classic卡 hf mf wrbl 改寫MIFARE classic卡的區塊數據 hf mf chk 測試MIFARE classic卡的各個區塊KEY A/B hf mf mifare 基於PRNG漏洞,執行mifare “DarkSide”攻擊操作 hf mf nested 測試嵌套認證漏洞,基於一個已知Key,獲取都有扇區Keys hf mf sniff 嗅卡片與讀寫器之間的通訊(等同於hf 14a snoop) hf mf sim 模擬一個MIFARE卡片 hf mf eclr 清除仿真內存的各區塊數據 hf mf eget 獲取仿真內存的各區塊數據 hf mf eset 設置仿真內存的各區塊數據 hf mf eload 從導出的文件加載仿真數據 hf mf esave 導出保存仿真數據到文件 hf mf ecfill 利用仿真器的keys來填補仿真內存 hf mf ekeyprn 打印輸出仿真內存中的keys hf mf csetuid 直接設置可改UID卡的UID hf mf csetblk 把對應區塊數據寫入UID卡 hf mf cgetblk 讀取UID卡對應區塊數據 hf mf cgetsc 讀取UID卡對應扇區數據 hf mf cload 寫入dump數據到UID卡。注意 hf mf csave 保存UID卡數據到文件或者仿真內存
0×02 QuickPass閃付
小科普:
“閃付”(Quick Pass)代表銀聯的非接觸式支付產品及應用,具備小額快速支付的特征。用戶選購商品或服務,確認相應金額,用具備“閃付”功能的金融IC卡或銀聯移動支付產品,在支持銀聯“閃付”的非接觸式支付終端上,輕松一揮便可快速完成支付。一般來說,單筆金額不超過1000元,無需輸入密碼和簽名。非接觸式“閃付”終端,主要覆蓋日常小額快速支付商戶,包括超市、便利店、百貨、葯房、快餐連鎖等零售場所和菜市場、停車場、加油站、旅游景點等公共服務領域。
支持NFC的安卓設備可通過支付寶、NFC生活通等App讀取到閃付卡的最近十次消費記錄:
接下來我們將演示如何在手機App讀取銀行閃付卡信息的時候進行嗅探&竊聽。
演示流程:
1.使用NFC生活通判斷銀行閃付卡類型:標簽-讀取標簽:
這里我們得到了標簽類型:Mifare Classic 14443
2.根據標簽類型,選擇合適的嗅探命令:
hf mf sniff 實時顯示嗅探到的數據
hf iclass snoop
hf 14a snoop
3.把銀行卡放到PM3天線上,在手機讀取銀行卡信息前執行嗅探命令;
4.把手機緊貼銀行卡,讀取銀行卡信息;
5.結束嗅探,列出&查看嗅探到的數據。
hf mf sniff 實時顯示嗅探到的數據
hf iclass list
hf 14a list
6.對嗅探到的數據進行解碼。
(解碼Tips可參考《無線電安全攻防大揭秘》45-50頁 )
0×03 演示視頻
接下來以hf 14a系列命令進行演示:
屏幕錄像:
全局錄像:
0×04 參考&感謝