Nikol 1 Жалоба Опубликовано 26 марта Всех приветствую. Так получилось, что у меня есть дамп mifare classic UID 4b который открывал домофон rubetek. Домофон явно работает в режиме совместимости. Почему открывал? Потому, что UID ключа был прописан в домофоне через личный кабинет управляющей компании. Теперь он удалён т.к. открывал не все двери. В домофоне остались прописаны только семи байтовые UIDы. Я решил сделать себе ещё один ключ. Для чего на заготовку https://ikey.ru/22600-mfzero7/ записал дамп и семи байтовый UID который домофон точно знает. К сожалению, не прокатило. Почему, не понимаю, но есть у меня подозрение, что заготовка эта была отфильтрована ридером. Как ридеры распознают заготовки я не знаю, но отснифав проксмарком обмен с новым ключём, я вижу в логе "WRITEBLOCK(83)". Возможно ридер делает попытку записи. Отсюда вопрос к знатокам: бывают ли заготовки mifare classic с семи байтовыми идентификаторами которые OTP? Может есть иное решение? Спасибо. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Pavel 582 Жалоба Опубликовано 26 марта Попытка записи блока 83 что в обычном классике, что в этой заготовке даст одинаковый результат. Дело не в этой команде. У проксмарка есть режим эмуляции. Сделайте его и будет видно, открывает этот дамп или нет. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
a64 5 Жалоба Опубликовано 27 марта У Прокса режимы эмуляции и сниффинга очень сильно зависят от качества антенны и, вероятно, электроники на входе после антенны. Как я не изгалялся, в режим эмуляции на реальном домофоне так и не смог загнать. В лабораторных условиях, когда на столе прикладывал к Проксу несколько вариантов ручных считывателей, получал лишь какие-то обрывки в листинге. Качественный сниффинг с помощью простого варианта Прокса получить достаточно трудно. Прокс в большинстве случаев тупо пишет ответы метки. Записать диалог (Rdr-Tag) проблематично. У меня сложилось впечатление, что аппаратно Easy разновидность Прокса не очень предназначена для этого. Действительно, если посмотреть на RDV 4, то там антенна имеет другой форм-фактор. Чаще всего и данные замера HW TUNE сильно различаются. Я сделал небольшой датчик поля и собрал на столе мини-полигончик. В качестве ридера выступает RC522. Так вот. При внесении антенны Прокса в зону антенны ридера поле сильно ослабевает. Т.е. антенна Прокса его просто поглощает. Тема мне показалась интересной, жду сейчас, пока привезут "на побаловаться" осцилограф, датчики ближнего поля и тому подобное барахло. Может быть, удастся немного копнуть тему. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 27 марта Пришёл к выводу, что проксмарк с прошивкой от ICEMAN очень глючная штука. По совету Павла решил загнать в эмулятор дамп и попробовать открыть: [usb] pm3 -->hf mf dump --keys hf-mf-XXXXXX-key.bin [!] Invalid dump. UID/SAK/ATQA not found при этом: [usb] pm3 --> hf mf info [=] --- ISO14443-a Information --------------------- [+] UID: XX XX XX XX XX XX XX [+] ATQA: 00 44 [+] SAK: 08 [2] Это последняя прошивка от ICEMAN. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 27 марта 2 часа назад, a64 сказал: У Прокса режимы эмуляции и сниффинга очень сильно зависят от качества антенны и, вероятно, электроники на входе после антенны. Подозреваю, что качество может быть разным на разных экземплярах. Вам возможно не повезло. Я со своего изи получаю дам в котором есть и ридер и метка а hf mf sim -x вынимает из домофона верные данные для получения ключей от секторов через mfkey32v2. Вот с эмуляцией дампа сегодня облом получился, попробую старые прошивки. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
a64 5 Жалоба Опубликовано 27 марта 10 минут назад, Nikol сказал: Подозреваю, что качество может быть разным на разных экземплярах. Вам возможно не повезло. Это весьма возможно. Жаль только, не с чем сравнить. Покупать еще один - смешно, а у ближайшего окружения еще одного экземпляра нет. LF диапазон у моего Изи работает хорошо. Я делал к нему отдельную выносную антенну, даже улучшил параметры. А вот антенный коэффициент у HF довольно низок, порядка 10 в. Возможно, в моем конкретно экземпляре (версии изготовления) применены "альтернативные" элементы. Смешно, но их даже лазером обработали, чтобы не читались обозначения. Я подозреваю, что китайские изготовители собирают младшие версии Проксов из чего есть под рукой. И у каждого - свой вариант исполнения и схемного решения Изи. Надо честно сказать, что кроме сниффинга и эмуляции у меня нет претензий к данному девайсу. Может быть, придется заменить операционник в ВЧ участке на тот, что в оригинальной версии. Или попытаться построить свою ВЧ антенну. И таки да, не написал предыдущем посте. Есть разница между притащить хост (в худшем случае ноут) + кабель + Прокс и тыкать им в ридер на улице. Или иметь автономный портатив с батарейным питанием (вынул девайс с пачку сигарет из кармана, приложил к ридеру и ушел). Айсман, правды ради сказать, не так давно сделал возможность перешить Изи в почти автоном для сниффинга, но... Тут уже "капитан Целесообразность" крутит пальцем у виска. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 27 марта Закончил на сегодня эксперименты, итог: 1) в эмулятор прокса метку с нужными данными залил, Mifare Classic Tool на телефоне читает эмулятор правильно 2) домофон не открывается Вот что думаю... Судя по трейсу который собирается, ридер читает из блока отличного от нулевого. Выходит подмена UIDа на знакомый домофону прокатила? Зачем читать что то ещё если UID не верный? Если так, выходит ему не понравились данные в блоке отличном от 0. Возможно что то изменилось за те пару лет которые прошли с момента когда ключ с UID 4b работал. Больше идей нет. Павел, спасибо за подсказку про эмулятор. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
a64 5 Жалоба Опубликовано 27 марта 11 минут назад, Nikol сказал: Зачем читать что то ещё если UID не верный? UID можно вообще не использовать при аутентификации тэга. Формально можно читать данные из какого либо блока (блоков) и пользоваться только ими. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
OBGuy 13 Жалоба Опубликовано 27 марта Проксмарк - чудо техники, если конечно его приручить. Всё что я увидел это что есть запись на 7-байтный UID. Есть ли дамп оригинала? Если есть, то можно максимально разборчивый trace-файл между меткой и рубетеком? На один жёлтый запрос считывателя ровно один белый ответ метки. Сохранить можно с "trace save -f rubetek7b". Кладите метку на проксмарк, а его на считыватель. Если снифф неразборчивый - как выглядит плата? Главное - увидеть чип FPGA (самый большой) и гравировки на нём. Про Write(83) - может вам "повезло" и зашифрованные данные образовали "A053", хоть и подразумевалось другое. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
senyasorokin 6 Жалоба Опубликовано 27 марта 4 часа назад, Nikol сказал: Подозреваю, что качество может быть разным на разных экземплярах. Вам возможно не повезло. Я со своего изи получаю дам в котором есть и ридер и метка а hf mf sim -x вынимает из домофона верные данные для получения ключей от секторов через mfkey32v2. Вот с эмуляцией дампа сегодня облом получился, попробую старые прошивки. А зачем симуляцией вынимать данные для последующего расчета ключа, если оригинальная карта под рукой? Почему просто не снифернуть и готовый ключ не посмотреть через hf mf list ? Он же там сразу дешифрованный показывает. 1 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 27 марта 1 час назад, a64 сказал: UID можно вообще не использовать при аутентификации тэга. Формально можно читать данные из какого либо блока (блоков) и пользоваться только ими. Этот домофон точно хранит UIDы разрешённых ключей. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 28 марта 20 часов назад, OBGuy сказал: Проксмарк - чудо техники, если конечно его приручить. Всё что я увидел это что есть запись на 7-байтный UID. Есть ли дамп оригинала? Если есть, то можно максимально разборчивый trace-файл между меткой и рубетеком? На один жёлтый запрос считывателя ровно один белый ответ метки. Сохранить можно с "trace save -f rubetek7b". Кладите метку на проксмарк, а его на считыватель. Если снифф неразборчивый - как выглядит плата? Главное - увидеть чип FPGA (самый большой) и гравировки на нём. Про Write(83) - может вам "повезло" и зашифрованные данные образовали "A053", хоть и подразумевалось другое. Отснифал обмен ридера и Mifare plus как я понимаю в режиме эмуляции Mifare classic, UID заменил на XX дабы УК не спалила. Подскажите пожалуйста, что означает RATS - FSDI=8, CID=1 и PPS - CID=1 ? А думаю должен читаться 0 блок из 8го сектора, но байт не хватает. Start | End | Src | Data (! denotes parity error) | CRC | Annotation ------------+------------+-----+-------------------------------------------------------------------------+-----+-------------------- 0 | 1056 | Rdr |26(7) | | REQA 2244 | 4612 | Tag |44 00 | | 206640 | 209104 | Rdr |93 20 | | ANTICOLL 210292 | 216180 | Tag |88 XX XX XX fd | | 820976 | 831440 | Rdr |93 70 88 XX XX XX fd 79 96 | ok | SELECT_UID 832692 | 836212 | Tag |04 da 17 | ok | 1172656 | 1175120 | Rdr |95 20 | | ANTICOLL-2 1176308 | 1182196 | Tag |XX XX XX XX c2 | | 1560624 | 1571152 | Rdr |95 70 XX XX XX XX c2 8e dc | ok | SELECT_UID-2 1572340 | 1575924 | Tag |20 fc 70 | ok | 1933216 | 1937984 | Rdr |e0 81 b8 62 | ok | RATS - FSDI=8, CID=1 1939156 | 1955412 | Tag |0c 75 77 80 02 c1 05 21 30 00 77 c1 60 d3 | ok | 2394944 | 2400864 | Rdr |d1 11 05 23 ab | ok | PPS - CID=1 2402068 | 2405588 | Tag |d1 fa 96 | ok | 11817872 | 11818928 | Rdr |26(7) | | REQA 11820100 | 11822468 | Tag |44 00 | | 12139136 | 12141600 | Rdr |93 20 | | ANTICOLL 12142804 | 12148692 | Tag |88 XX XX XX fd | | 12554432 | 12564896 | Rdr |93 70 88 XX XX XX fd 79 96 | ok | SELECT_UID 12566164 | 12569684 | Tag |04 da 17 | ok | 12891680 | 12894144 | Rdr |95 20 | | ANTICOLL-2 12895348 | 12901236 | Tag |XX XX XX XX c2 | | 13348960 | 13359488 | Rdr |95 70 XX XX XX XX c2 8e dc | ok | SELECT_UID-2 13360676 | 13364260 | Tag |20 fc 70 | ok | 13752432 | 13757200 | Rdr |e0 81 b8 62 | ok | RATS - FSDI=8, CID=1 13758388 | 13774644 | Tag |0c 75 77 80 02 c1 05 21 30 00 77 c1 60 d3 | ok | 14336240 | 14342160 | Rdr |d1 11 05 23 ab | ok | PPS - CID=1 14343348 | 14346868 | Tag |d1 fa 96 | ok | 23628240 | 23629296 | Rdr |26(7) зы: не понимаю, где обмен одноразовыми цифрами? Дверь открывается. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
petr5555 294 Жалоба Опубликовано 28 марта 37 минут назад, Nikol сказал: Отснифал обмен ридера и Mifare plus как я понимаю в режиме эмуляции Mifare classic, UID заменил на XX дабы УК не спалила. Подскажите пожалуйста, что означает RATS - FSDI=8, CID=1 и PPS - CID=1 ? А думаю должен читаться 0 блок из 8го сектора, но байт не хватает. зы: не понимаю, где обмен одноразовыми цифрами? Дверь открывается. Конечно не понимаете. Получите сначала нормальный дамп.... Пока, как видно из вашего, вы просто читаете UID.... А что вы подразумеваете под "одноразовыми цифрами"? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 28 марта 17 минут назад, petr5555 сказал: Конечно не понимаете. Получите сначала нормальный дамп.... Пока, как видно из вашего, вы просто читаете UID.... А что вы подразумеваете под "одноразовыми цифрами"? В этом дампе всё что есть, дальше он просто повторяет в цикле то что я приложил, дверь открывается. Под "одноразовыми цифрами" я понимаю обмен между ридером и меткой который используется для вычисления ключа от сектора. Я думаю, если MIfare plus в режиме эмуляции Mifare classic (SAK 20, ATQA 0044), то авторизация для чтения блока тоже должна быть. Но больше ничего нет. Это я снифал свою карту, которую получил при заселении. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
OBGuy 13 Жалоба Опубликовано 28 марта 1 час назад, Nikol сказал: Отснифал обмен ридера и Mifare plus как я понимаю в режиме эмуляции Mifare classic, UID заменил на XX дабы УК не спалила. Подскажите пожалуйста, что означает RATS - FSDI=8, CID=1 и PPS - CID=1 ? А думаю должен читаться 0 блок из 8го сектора, но байт не хватает. Start | End | Src | Data (! denotes parity error) | CRC | Annotation ------------+------------+-----+-------------------------------------------------------------------------+-----+-------------------- 0 | 1056 | Rdr |26(7) | | REQA 2244 | 4612 | Tag |44 00 | | 206640 | 209104 | Rdr |93 20 | | ANTICOLL 210292 | 216180 | Tag |88 XX XX XX fd | | 820976 | 831440 | Rdr |93 70 88 XX XX XX fd 79 96 | ok | SELECT_UID 832692 | 836212 | Tag |04 da 17 | ok | 1172656 | 1175120 | Rdr |95 20 | | ANTICOLL-2 1176308 | 1182196 | Tag |XX XX XX XX c2 | | 1560624 | 1571152 | Rdr |95 70 XX XX XX XX c2 8e dc | ok | SELECT_UID-2 1572340 | 1575924 | Tag |20 fc 70 | ok | 1933216 | 1937984 | Rdr |e0 81 b8 62 | ok | RATS - FSDI=8, CID=1 1939156 | 1955412 | Tag |0c 75 77 80 02 c1 05 21 30 00 77 c1 60 d3 | ok | 2394944 | 2400864 | Rdr |d1 11 05 23 ab | ok | PPS - CID=1 2402068 | 2405588 | Tag |d1 fa 96 | ok | 11817872 | 11818928 | Rdr |26(7) | | REQA 11820100 | 11822468 | Tag |44 00 | | 12139136 | 12141600 | Rdr |93 20 | | ANTICOLL 12142804 | 12148692 | Tag |88 XX XX XX fd | | 12554432 | 12564896 | Rdr |93 70 88 XX XX XX fd 79 96 | ok | SELECT_UID 12566164 | 12569684 | Tag |04 da 17 | ok | 12891680 | 12894144 | Rdr |95 20 | | ANTICOLL-2 12895348 | 12901236 | Tag |XX XX XX XX c2 | | 13348960 | 13359488 | Rdr |95 70 XX XX XX XX c2 8e dc | ok | SELECT_UID-2 13360676 | 13364260 | Tag |20 fc 70 | ok | 13752432 | 13757200 | Rdr |e0 81 b8 62 | ok | RATS - FSDI=8, CID=1 13758388 | 13774644 | Tag |0c 75 77 80 02 c1 05 21 30 00 77 c1 60 d3 | ok | 14336240 | 14342160 | Rdr |d1 11 05 23 ab | ok | PPS - CID=1 14343348 | 14346868 | Tag |d1 fa 96 | ok | 23628240 | 23629296 | Rdr |26(7) зы: не понимаю, где обмен одноразовыми цифрами? Дверь открывается. А может, вы ничего и не увидели бы. По ATS это Plus SE. По SAK - в SL3. Команда PPS меняет скорость передачи данных с 106 Кбит/с. Всё, кроме этой скорости, проксмарк услышать не сможет. Ну и там однозначно аутентификация по AES, т.к. другого запросить не выйдет. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
petr5555 294 Жалоба Опубликовано 28 марта 32 минуты назад, Nikol сказал: В этом дампе всё что есть, дальше он просто повторяет в цикле то что я приложил, дверь открывается. Под "одноразовыми цифрами" я понимаю обмен между ридером и меткой который используется для вычисления ключа от сектора. Я думаю, если MIfare plus в режиме эмуляции Mifare classic (SAK 20, ATQA 0044), то авторизация для чтения блока тоже должна быть. Но больше ничего нет. Это я снифал свою карту, которую получил при заселении. А почему вы уверены, что считыватель должен куда то обращаться ? Возможно что работа вашего СКУД происходит просто по UID.... Для чтения UID никакой авторизации не надо. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 28 марта 6 минут назад, petr5555 сказал: А почему вы уверены, что считыватель должен куда то обращаться ? Возможно что работа вашего СКУД происходит просто по UID.... Потому, что если через проксмарк эмулировать Mifare classic 7b UID, видно, что ридер читает содержимое блоков 32 и 48. В трейсе даже ключи видны от этих двух секторов. Как я писал в своём самом первом посте, с UIDом я уже пробовал. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 28 марта 34 минуты назад, OBGuy сказал: А может, вы ничего и не увидели бы. По ATS это Plus SE. По SAK - в SL3. Команда PPS меняет скорость передачи данных с 106 Кбит/с. Всё, кроме этой скорости, проксмарк услышать не сможет. Ну и там однозначно аутентификация по AES, т.к. другого запросить не выйдет. Спасибо за разъяснение. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
petr5555 294 Жалоба Опубликовано 28 марта 1 минуту назад, Nikol сказал: Потому, что если через проксмарк эмулировать Mifare classic 7b UID, видно, что ридер читает содержимое блоков 32 и 48. В трейсе даже ключи видны от этих двух секторов. Как я писал в своём самом первом посте, с UIDом я уже пробовал. Ну так если видны эти ключи, то пробовали читать исходный ключ ? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 28 марта 2 минуты назад, petr5555 сказал: Ну так если видны эти ключи, то пробовали читать исходный ключ ? Пробовал: [#] Auth error Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
petr5555 294 Жалоба Опубликовано 28 марта 37 минут назад, Nikol сказал: Пробовал: [#] Auth error Что тут скажешь. Значит это не те ключи доступа.... Можете попробовать получить несколько неполных аутентификаций и по ним вычислить ключи.... Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 28 марта 32 минуты назад, petr5555 сказал: Что тут скажешь. Значит это не те ключи доступа.... Можете попробовать получить несколько неполных аутентификаций и по ним вычислить ключи.... Это те же ключи, которые в дампе двух-годовалой давности. Они от чипа Mifare classic 4b UID который открывал. Они же вычисляются через mfkey32v2 Их наличие не помогает. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
a64 5 Жалоба Опубликовано 28 марта А как у вас Прокс эту заготовку определяет ? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Uilyi 67 Жалоба Опубликовано 28 марта 2 часа назад, Nikol сказал: Это те же ключи, которые в дампе двух-годовалой давности. Они от чипа Mifare classic 4b UID который открывал. Они же вычисляются через mfkey32v2 Чёт не пойму, вам на 2 совершенно разных UID-а домофон дает одни и те же криптоключи? Или вы к новому 7b UID-у просто подставили криптоключи из другого дампа? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Nikol 1 Жалоба Опубликовано 28 марта 8 минут назад, Uilyi сказал: Чёт не пойму, вам на 2 совершенно разных UID-а домофон дает одни и те же криптоключи? Или вы к новому 7b UID-у просто подставили криптоключи из другого дампа? Я пробовал в дамп 4b UID который точно работал, добавить 7b UID который прописан в ридере. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Вступить в беседу
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.