IC卡基础之门禁卡复制-安全客

作者：平安@涂鸦智能安全实验室

前言

随着国家对网络安全的建设不断加强，类似护网形式的攻防演练行动会越来越多。而我们从线上进入目标的难度也会越来越难，这个时候线下的物理攻击将逐渐流行起来。本次介绍通过各种社工方法获取到目标的门禁卡，我们怎么做到不引起注意，进行持久化维持权限。

复制门禁卡

在我们复制拿到手的门禁卡之前，我们要了解一些关于卡的知识。

IC卡基础

目前市面上的门禁卡主要有ID卡、IC卡、CPU卡。而IC卡是运用最广泛的。

IC卡：全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。特点：可读写,容量大,有加密功能,数据记录可靠。常用：一卡通系统,消费系统。目前主要有PHILIPS的Mifare系列卡。

IC白卡卡身无编码

ID卡: 全称身份识别卡(Identification Card)。特点：是一种不可写入的感应卡,含固定的编号,只能读取ID号。常用：门禁。主要有台湾SYRIS的EM格式,美国HID,TI,MOTOROLA等各类ID卡.

ID白卡卡身有10位编码

CPU卡：也称智能卡，卡内的集成电路中带有微处理器CPU、存储单元（包括随机存储器RAM、程序存储器ROM（FLASH）、用户数据存储器EEPROM）以及芯片操作系统COS。特点：外观可见芯片。

刚出厂的还未使用过的卡我们一般称为白卡，在某宝上都能买到。我们本次主要讲市面上使用最广的IC卡，ID卡由于本身的不安全性，目前使用较少。除了可以使用卡片外，还可以用是钥匙卡扣，手机贴等等。

钥匙卡扣

IC卡信息

IC卡内信息

如上图，这是IC卡内信息的一部分
1、每张IC卡都有16个扇区。从扇区0-扇区15，每个扇区都有4个区块，每个区块占16个字节。内容采用16进制记录。
2、0扇区的0区块，有着每张IC卡都有的卡号，厂商信息等。除了0扇区，其他每个扇区的0，1，2区块都可以用来存储数据。（0扇区的1，2也能存放）。
3、3区块为控制块，用来存放密码和控制权限。不能用于数据存储。从厂家采购回来的IC卡都有密码，默认密码都是FF FF FF FF FF FF（255 255 255 255 255 255）。
每个区块都有2个密码存储位，前6个字节为KeyA，后6个字节为KeyB。中间的4个字节为存储控制。默认都是FF 07 80 69。

一般的门禁卡和电梯卡判断是否有权限，都是通过nfc读取卡内区块0中的卡号和校验位。通过读取到的信息去对应的服务器上去匹配是否拥有权限。其他扇区一般记录着你使用次数等信息，如果要想拷贝一张门禁卡，其实只要复制0扇区信息出来到另一张卡上即可。

读取工具

能在手机上进行nfc读取的工具有不少，如NFC tools、MifareClassic Tool等。
也有专门的读取器，PM系列工具。目前市面上已经是PM6了。

使用手机读取数据，推荐MifareClassic Tool
工具下载链接：https://github.com/ikarus23/MifareClassicTool
条件：APK，只能安装在安卓手机上，并且手机支持nfc，带NXP芯片。

MifareClassic只能读取M1的卡，如果读取的卡不是M1的卡，会有相应的提示，所以不用担心如何判断是否是M1卡。
（Mifare卡俗称M1卡，是IC卡的一种，原装芯片通常被称为NXP卡或飞利浦S50卡。兼容国产芯片有复旦的M1卡，和华鸿的M1卡。是世界上使用量最大、技术最成熟、性能最稳定、内存容量最大的一种感应式智能IC卡。）

下图是MifareClassic工具的功能模块

MiFareClassictool

常见的门禁卡只需要用到读标签、写标签、以及编辑/分析转储文件功能。
写卡工具我还是更推荐PM设备，价格100左右。但是我们在社工获取到目标门禁卡的时候，可能不方便携带PM设备去保存数据以及写卡，所以Mif工具读取数据是最方便隐秘的。

MifareClassic tool读取

Mif读卡

使用时将需要读取的IC卡放于手机背面，点击Mif工具的读标签，将读到IC卡信息保存成dump文件格式。
Mif工具读取卡的时候有下面两个文件勾选，这两份文件是用于爆破IC卡每个扇区的keyA和keyB密钥的，我们想要知道卡的信息，就要知道每个扇区3区块中的密钥，才能得到里面的内容。理论上密钥keys文件足够大，就能得到所有IC卡中的信息。如果出现提示某些扇区无法读取或者死扇区，那就是keys文件没有爆破出卡的密钥。当然你也可以替换成自己的keys文件。

IC卡信息