Помогите плиз с ключами Mifare Clssic 1K (+ Jakcom r4)

[OSZM 1]

Всем доброго дня.

В теме совсем недавно, поэтому просьба сильно не пинать.

Задача: есть брелок СКУДа спорт-клуба; носить с собой неудобно, поэтому хочу клонировать в более носибельный вид (например кольцо jakcom r4).

В наличии: сам брелок Mifare Classic 1K, ChameleonUltra (c GUI и CLI под него от Proxmark3 под Винду), Android с MCT и TAGinfo.

Вот что удалось получить на данный момент:

Цитата

 

Report Type: -- IC INFO ------------------------------

# IC Manufacturer:
Unknown Manufacturer

# IC Type:
Unknown MIFARE Classic IC, possibly cloned

-- NDEF ------------------------------

# No NDEF Data Storage Populated:

-- EXTRA ------------------------------

# Memory Information:
1 kB
* 16 sectors, with 4 blocks per sector
* 64 blocks, with 16 bytes per block

# Block 0 analysis:
UID: 12:2D:42:36
* NXP Semiconductors
Check Byte: 0x4B
SAK: 0x08 (ERROR)
ATQA: 0x0400
Manufacturer data:
* 04 7C 32 5B BD 3E AE 90 |.|2[.>..|

# TagInfo Version:
Version :5.0.0

# Device Info:
Device Model :Google ( Pixel 8 )
Android OS Version :14

-- FULL SCAN ------------------------------

# Technologies Supported:
ISO/IEC 14443-3 (Type A) compatible

# Android Technology Information:
Tag description:
* TAG: Tech [android.nfc.tech.NfcA, android.nfc.tech.MifareClassic, android.nfc.tech.NdefFormatable]
* Maximum transceive length: 253 bytes
* Default maximum transceive time-out: 618 ms

# Detailed Protocol Information:
ID: 12:2D:42:36
ATQA: 0x0400
SAK: 0x08

# Memory Content:
Sector 0 (0x00)
[00] r--  12 2D 42 36 4B 08 04 00 04 7C 32 5B BD 3E AE 90 |.-B6K....|2[.>..|
[01] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[02] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[03] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 1 (0x01)
[04] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[05] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[06] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[07] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 2 (0x02)
[08] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[09] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[0A] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[0B] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 3 (0x03)
[0C] rwi  50 00 03 00 12 2D 42 36 0B 31 00 00 00 00 00 00 |P....-B6.1......|
[0D] rwi  0F 04 F8 32 00 00 00 01 00 00 00 00 00 01 3B 4A |...2..........;J|
[0E] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[0F] wxx  A5:A4:A3:A2:A1:A0 FF:07:80 00 FF:FF:FF:FF:FF:FF
          MAD access key (reversed)     Factory default key (readable)

Sector 4 (0x04)
[10] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[11] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[12] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[13] ???  XX:XX:XX:XX:XX:XX --:--:-- -- XX:XX:XX:XX:XX:XX
          (unknown key)                 (unknown key)

Sector 5 (0x05)
[14] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[15] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[16] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[17] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 6 (0x06)
[18] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[19] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[1A] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[1B] ???  XX:XX:XX:XX:XX:XX --:--:-- -- XX:XX:XX:XX:XX:XX
          (unknown key)                 (unknown key)

Sector 7 (0x07)
[1C] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[1D] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[1E] ???  -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
[1F] ???  XX:XX:XX:XX:XX:XX --:--:-- -- XX:XX:XX:XX:XX:XX
          (unknown key)                 (unknown key)

Sector 8 (0x08)
[20] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[21] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[22] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[23] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 9 (0x09)
[24] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[25] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[26] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[27] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 10 (0x0A)
[28] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[29] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[2A] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[2B] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 11 (0x0B)
[2C] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[2D] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[2E] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[2F] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 12 (0x0C)
[30] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[31] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[32] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[33] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 13 (0x0D)
[34] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[35] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[36] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[37] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 14 (0x0E)
[38] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[39] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[3A] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[3B] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

Sector 15 (0x0F)
[3C] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[3D] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[3E] rwi  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
[3F] wxx  FF:FF:FF:FF:FF:FF FF:07:80 69 FF:FF:FF:FF:FF:FF
          Factory default key           Factory default key (readable)

 

Все (сам хамелеон, MCT, TAGinfo) дают одинаковый результат: из библиотеки подбирается ключ 3го блока A5:A4:A3:A2:A1:A0 и все. В 3м блоке еще смущает FF:07:80:00 вместо стандартных FF:07:80:69. Как это влияет на работу с ключами?

Дальше через CLI от Pm3 заточенный под Хамелеон пытаюсь найти остальные ключи. Но...

Darkside выдает ошибку:

 

Nested работает как-то странно (во всех мануалах лог выглядит не таким скупым) и ничего не пытается находить (ну или пытается, но очень скромно и неохотно):

 

Никаких autopwn, hardnested и т.п. в этой консоли под Хамелеона нет. Видимо сильно все урезано.

Подскажите, куда дальше копать.

Возможно, я в nested не совсем правильно понимаю какие ключи указывать. Но пробовал разные варианты (и с --blk 0 -k ffffffffffff).

Варианты имеющихся команд:

 

[OSZM 1]

Если кому интересно, на jakcom r4 сейчас удачно записан (и проверен) домофонный EM410x и "недоделанный" дамп, о котором писал выше. В таком виде он даже читается (в том же виде, в каком и был записан), поэтому при удачном исходе должно все работать.

На кольце помимо этих 2 антенн, еще есть 2 NFC (пока не придумал для чего применить):

 

В сравнении с обычным 125KHz кольцом, намного больше:

[petr5555 294]

4 часа назад, OSZM сказал:

Если кому интересно, на jakcom r4 сейчас удачно записан (и проверен) домофонный EM410x и "недоделанный" дамп, о котором писал выше. В таком виде он даже читается (в том же виде, в каком и был записан), поэтому при удачном исходе должно все работать.

 

Может будет, а может и нет.

Вообще у вас ещё есть три закрытых сектора....

И если атаки не проходят, то тут только идти к считывателю и вытягивать

нужную для расчёта ключей информацию...

 

[OSZM 1]

15 минут назад, petr5555 сказал:

И если атаки не проходят, то тут только идти к считывателю и вытягивать

нужную для расчёта ключей информацию...

А есть шанс, что например железный Proxmark3 с его дополнительными вариантами атак сможет справиться без похода к считывателю?

Дойти конечно не проблема, но я не уверен, что Хамелеон мне поможет. Пишут, что у него вроде есть вариант записи ключей от считывателя. Но насколько это рабочий вариант, пока непонятно.

[petr5555 294]

4 часа назад, OSZM сказал:

А есть шанс, что например железный Proxmark3 с его дополнительными вариантами атак сможет справиться без похода к считывателю?

Дойти конечно не проблема, но я не уверен, что Хамелеон мне поможет. Пишут, что у него вроде есть вариант записи ключей от считывателя. Но насколько это рабочий вариант, пока непонятно.

Ну шанс есть, если это старый чип...

 

Нет такого понятия как "запись ключей от считывателя".

Записывается информация, которой считыватель и ключ обмениваются при

аутентификации и на её основе рассчитывают ключ доступа.

[Uilyi 67]

Я бы предложил вам попробовать поработать с приложениями для хамелеона на андроид. Есть приложение Chameleon Ultra GUI. Еще есть приложение MTools BLE в котором вроде заявлена работа с Chameleon Ultra. Посмотрите в каком из них есть захват данных от считывателя (в выборе типа ключа должен быть параметр "MF Detection" - это оно и есть). При работе с Chameleon Tiny и приложением под него процесс выглядел так: считываем UID с оригинальной карты, выбираем MF Detection, отправляем UID и команду в хамелеон, подносим его ненадолго к считывателю. Жмём "Crack". После расчёта криптоключа всплывает новое окно в котором высвечивается полученный криптоключ, и если, пока это окно активно, к NFC телефона поднести оригинальный ключ, то приложение начнёт его взламывать. По крайней мере те секторы которые необходимы для работы.

Так же можете установить приложение MTools (просто, без BLE, это разные приложения). В нём есть возможность используя NFC телефона по известным криптоключам получить некоторые другие, неизвестные. Один у вас (A5:A4:A3:A2:A1:A0) вроде уже есть. Интерфейс там конечно кривоват, всё приходится делать методом тыка. Сначала нужно добавить карту считав UID. Потом заходите в неё, там ещё раз нажимаете "читать с карты" и появится окно со списком криптоключей слева. Вписываете туда свой известный криптоключ (а если получите хамелеоном ещё один - то и его тоже). Прикладываете ключ к NFC и нажимаете "Читать ТЕГ".

Для удобства, чтобы собрать дамп ключа, я бы посоветовал использовать либо iKeyBase для ПК, либо iKeyExpress для андроид. В них есть возможность выгрузить собранный ключ в файл, который потом можно скормить хамелеону для последующей записи.

[OSZM 1]

11 часов назад, Uilyi сказал:

Я бы предложил вам попробовать...

Спасибо за идеи. Захват данных и имел ввиду, когда писал про "запись ключей от считывателя". Да, Chameleon Ultra умеет. Процедура немного другая:

Короче, что в итоге...

По месту с удивлением обнаружил, что кольцо, на которое был записан недоделанный дамп (см. средний вариант на картинке ниже), работает на турникете и открывает остальные двери. Единственное место, где не работало - шкафчик в раздевалке. Там и потыкал Хамелеоном. На картинке выше как раз то, что он поймал. С этим ключом открылись 6 и 7 сектора. С 4-м он так и не справился. Пробовал через консоль пихать новые ключи в nested. Толку - ноль. Похоже, что от консоли на данный момент Хамелеону пользы никакой. Ну или дело в китайском клоне.

С Mtools я так и не разобрался. Там еще и денег хотят за расширенную версию.

Попробовал через MTools BLE подключиться к Хамелеону. Добавил известные ключи, прочитал. И, нифига себе! Почти моментально там открылся 4й блок с новым ключом. Я хз как он это делает и почему родной софт не смог... К слову, в родном софте после считывания с использованием всех известных ключей, есть кнопка Recovery Keys. Она наверное час бес толку крутила 4й блок (пробовал и на компе и на телефоне). Ждать надоело, выключил. 

И, кстати, потом уже нашел инструкцию, как снифить данные на Chameleon Ultra через MTools BLE - ВОТ. Так вообще можно забить на родной софт.

Кратко, история выглядит так (картинки из MCT, как более наглядные):

В работе пока не пробовал. Как проверю, отпишусь.

Записал на кольцо и, на всякий случай, оставил 1 ячейку Хамелеона в режиме снифа.