RFID實驗指導書

1、RFID實驗指導書適用所有對無線射頻傳感器感興趣的學生XXX編寫概述一、課程目的RFID無線射頻實驗是一門實踐性很強的實驗課程，為了學好這門課， 每個學生須完成一定的實驗實踐作業(yè)。通過本實驗的實踐操作訓練，可以更好 的了解RFID的基本功能和基本的使用方法，為以后深入的研究學習打下良好的 基礎。本課程實驗的目的是旨在使學生進一步擴展對無線射頻方向理論知識的了 解；培養(yǎng)學生的學習新技術的能力以及提高學生對該方向的興趣與動手能力。、實驗名稱與學時分配序號實驗 名 稱學時數(shù)實驗類型1環(huán)境搭建及高低頻卡鑒別2驗證2破解低頻門禁卡信息并作卡片復制2驗證3破解高頻卡（多方法），讀取卡內(nèi)信息2綜合三、實驗要

2、求1. 問題分析充分地分析和理解問題本身，弄清要求做什么，包括功能要求、性能要求、 設計要求和約束2. 原理理解 在按照教程執(zhí)行過程當中，需要弄清楚每一個步驟為什么這樣做，原理是 什么。3. 實踐測試 按照要求執(zhí)行每一步命令，仔細觀察返回值，了解每項返回值表達什么意 思，為什么有的卡片可以破解有的不可以。三、實驗考核實驗報告應包括如下內(nèi)容：1、實驗原理描述：簡述進行實驗的原理是什么。2、實驗的操作過程：包括實驗器材、實驗流程的描述。3、分析報告：實驗過程中遇到的問題以及問題是否有解決方案。如果有， 請寫明如何解決的；如果沒有，請說明已經(jīng)做過什么嘗試，依舊沒有結果導致 失敗。最后簡述產(chǎn)生問題的原

3、因。4、實驗的體會以及可以講該功能可以如何在其他地方發(fā)揮更強大的功能。 注：最后實驗結果須附命令行回顯截圖四、實驗時間總學時： 6 學時。實驗一 高低頻卡鑒別實驗目的1、掌握 RFID 驅動等環(huán)境安裝設置。2、掌握如何通過讀取電壓高低來區(qū)分高低頻。二、實驗要求1、認真閱讀和掌握本實驗的程序。2、實際操作命令程序。3、保存回顯結果，并結合原理進行分析。4、按照原理最后得出結果。三、注意事項： 命令在實行時，如果想停止，不能用平時的 Ctrl+C 或者 ESC 等常規(guī)結束按 鍵(可能會造成未知損壞)，只需要按下Promxmark3上的黑色按鈕。方形的為高頻天線( Proxmark3 HF Ante

4、nna 13.56MHZ)； 圓形的為低頻天線( Proxmark3 LF Antenna 125KHz/134KHz)四、實驗內(nèi)容1安裝驅動打開我的電腦右鍵 -屬性設備管理器人體學輸入設備這個“HID-compliant device”就是我們的proxmark3設備，選擇“USB人 體學輸入設備”一般是最下面那個，注意：不是“ HID-compliant device"，更新 驅動程序。然后選擇：Proxmark-Driver-2012-01-15proxmark_driverProxMark-3_RFID_Instrument.inf下一步繼續(xù)安裝完成。安裝完成之后在設備管理器

5、里面可以看到 proxmark3 的新驅動。2軟件使用所需要的軟件已經(jīng)打包好，直接在命令行中運行D: pm3-bin-r486Win32proxmark3.exe這樣就算成功安裝好各種環(huán)境，并可以在該命令窗口中執(zhí)行命令了。3高低頻卡的判別本部分介紹利用高頻天線判別卡片的高低頻，可自行利用低頻天線測 試，原理類似。命令 ：hw tune ，這個命令大概需要幾秒鐘等待回顯。當你輸入完hw tune之后，窗口所顯示的HF antenna后面的數(shù)值就是現(xiàn) 在非工作狀態(tài)下的電壓，當你把相關的卡放在高頻天線上面 / 下面的時候， 電壓就會所變化了（依然是非工作狀態(tài)下） 。從圖中我們可以看到，當卡沒有放到天

6、線的情況下電壓為 9.22v,而卡 放在天線之后電壓將為3.9v,現(xiàn)在的電壓依然是為非工作電壓， 但是從這個現(xiàn)象 當中我們會得到很多非常有意義的數(shù)據(jù)。變化出來了！第三張hw tune的結果為8.57v,是因為我把一張125kHZ 的門禁卡放在了高頻天線上面，所以其電壓的降幅很低，但是如果我把一張 13.56MHz 的卡放在上面就好像第二張圖片那樣子，電壓會降低會很多，有時候 會是10v左右。從這個變化當中我們就可以初步識別出高頻與低頻卡的區(qū)別了。所以前面測試的那張卡是一張高頻卡實驗二 破解低頻門禁卡實驗目的1 掌握利用低頻天線破解門禁卡。二、 實驗要求1 認真閱讀和掌握本實驗的程序。2 上機執(zhí)

7、行教程命令。3 保存運行結果，并對其原理進行分析理解。三、注意事項 命令在實行時，如果想停止，不能用平時的 Ctrl+C 或者 ESC 等常規(guī)結束 按鍵(可能會造成未知損壞)，只需要按下Promxmark3上的黑色按鈕。 方形的為高頻天線( Proxmark3 HF Antenna 13.56MHZ)； 圓形的為低頻天線( Proxmark3 LF Antenna 125KHz/134KHz) 安裝驅動等環(huán)境搭建步驟已由 實驗一 詳細闡述，此處略過。四、實驗內(nèi)容1、簡單了解卡片門禁卡一般為 T55x7標簽？也叫？TK4100(EM4100卡.?是屬于？ID?卡。T55x7?標簽成本 .?一般市

8、場價格 ?2?元-3?元不等.?(如果批發(fā) ,還能更便宜 .)?所以很多地方 都用T55x7?標簽。一般判別標簽卡的類型 ,?不可通過卡的外觀 ?大小?形狀來判斷。T55x7?勺參數(shù)及應用范圍：EM?4100/4102感應式？ID?標準卡芯片：？EM瑞士微電？EM4102Water工作頻率：125KHZ?感應距離：2-20cm尺寸：？IS01標準卡/厚卡/多種異形卡封裝材料： PVC、ABS?-2、破解卡片由于本次測試卡為低頻卡，所以連接的是低頻天線（ LF）。命令：lf?em4x?em410xwatc這個命令來獲取門禁的 Tags執(zhí)行完命令以后，則需耐心等待，讀取速度不確定，一般 30 分鐘

9、之內(nèi)都算 正常時間。過程截圖如下所示：這條命令會讀取EM410X?標簽，2000次取樣獲取ID。大部分門禁卡都將 Tags作為識別合法用戶的認證標簽，所以如果可以獲取該 Tags標簽，則可 以復制該門禁卡。（除非個別地方將Tags與UID綁定）最后一行“ EM410x Tag ID:xxxxxxxx ”，這個則是獲取的該卡 注意：讀取Tags的時候，門禁卡要放在低頻天線上方，且需要電壓穩(wěn)定， 不是每一次都可以成功獲取的，需要多嘗試幾次。3、復制門禁卡獲取到Tags以后，我們就可以拿一張同樣類型的空白卡進行復制。步驟 ：先將白卡放在低頻天線上，然后執(zhí)行命令。命令： l?e?em410xwrite

10、T?agID?1 ?注：TagID為上一步獲取的Tags序號；命令最后的1?表示t55x71標簽；前面的I?是If?低頻卡命令的縮寫；第2?個 e?是參數(shù)em4x?勺縮寫。寫完后，我們再用命令：If?em4x?em410xwatc來查看,我們是否寫進去了。在對新復制好的卡執(zhí)行完命令后，如果最后獲取到的Tags值與先前的一樣，或者將新卡拿到門禁系統(tǒng)上可以測試通過，則說明 T55x7 門禁卡復制成功，否則需要重新執(zhí)行復制的步驟。實驗三 破解高頻卡 （多方法）、實驗目的掌握利用高頻天線破解MIFARE Classic高頻卡的方法與過程。了解MIFARE Classic卡的漏洞與不安全性。二、實驗要求

11、1 認真閱讀和掌握本實驗的算法。2 按照教程執(zhí)行命令，盡可能實現(xiàn)效果。3 保存運行結果，并結合原理進行分析。三、注意事項命令在實行時，如果想停止，不能用平時的Ctrl+C或者ESC等常規(guī)結束 按鍵（可能會造成未知損壞），只需要按下Promxmark3上的黑色按鈕。 方形的為高頻天線（ Proxmark3 HF Antenna 13.56MHZ）； 圓形的為低頻天線（ Proxmark3 LF Antenna 125KHz/134KHz） 安裝驅動等環(huán)境搭建步驟已由 實驗一 詳細闡述，此處略過。三、實驗內(nèi)容1基于key的卡片破解通過簡單的電壓測試（如實驗一） ，可以得出我們要測試的 MIFARE

12、 Classic 卡是高頻卡。放卡前：放卡后：當確定需要測試的卡為13.56MHz卡之后，就開始需要深入的了解這卡的信 息了。我們可以從 hf 命令集當中找到相關的命令（見附錄）命令：hf 14a reader這樣我們就可以獲取到該卡的 UID。RATS是Request for answer to select選 擇應答請求）,原因是有時候 Proxmark3在讀取部分 MIFARE Classic卡UID的信 息時，因為無法得到RATS的返回信息，會判斷為非ISO14443a標準的卡 屆內(nèi)有 太多MIFARE Classic類的卡，并不是NXP出產(chǎn)的，所以Proxmark3就會出現(xiàn)了 這樣子

13、的提示！從圖中的信息我們可以看到的是現(xiàn)在讀取的卡 ATQA為04 00。通常ATQA為04 00數(shù)值的卡，大部分都是MIFARE Classic或者是CPU兼容模式下的MIFARE Classic,當我們可以確定卡類型之后就可以針對其特性進行相關的安全測試了，通常當我們拿到相關的卡的時候，我們應該先用chk命令去檢測一下測試卡是否存在出廠時遺留的默認 Key,默認的Key A/Key B是使得MIFARE Classic系列安全問題雪上加霜的主要成因，因為使用默認的Key導致惡意用戶可以使用其進行卡的 信息讀取以及修改。（常用默認key見附錄）命令：hf mf chk 0 A a0a1a2a3

14、a4a5 含義：檢查 0 區(qū) key A 是否為 a0a1a2a3a4a5當回顯為isOk:01 valid key:a0a1a2a3a4就說明存在這個默認key,我們就可以利用這個默認Key進行區(qū)塊的讀取以及更進一步的操作了。如果嘗試多種默認key均不存在的話，可以用如下方法。命令：hf mf mifare當輸入命令以后，窗口會顯示類似進度狀態(tài)的“.”，這個過程有時候快有時候慢，需要耐心等待。這樣便可獲得其中一個Nt的值為524bb6a2命令：hf mf mifare 524bb6a2當輸入命令后，窗口將再一次進入進度狀態(tài)，須耐心等待，如果想停止，請 按黑色按鈕。因為基于PRNG的漏洞進行的

15、破解，所以有時候會出現(xiàn)多次Nt的循環(huán)，這是很正常的結果，我們需要不斷的利用Nt去進行真正Key的破解。整個過程是漫長而乏味的，所以我們才需要借用默認Key的檢測來減少安全測試的耗時。（關 于PRNG漏洞的介紹請自行上網(wǎng)查詢）最后結果為Found valid key后面的值。這樣我們就對這張卡PRNG破解成功，獲取到了 key以后就可以對整張卡進 行破解測試了。這個操作的過程比較短暫，而且前提條件是必須存在一個正確的 Key進行操 作,否者就無法繼續(xù)進行。基本上MIFARE Classic的安全測試就已經(jīng)完成了，而 基于一些全加密或者 CPU兼容模式MIFARE Classic （Cryto-1

16、算法）的卡，我們 還可以使用嗅探的測試去進行測試。前提是要記住嗅探模式是需要在正常交互模 式下進行的。2、基于交互模式下的卡片破解1、正常連接Proxmark3到電腦，進入 Proxmark3交互終端。2、在終端輸入命令命令：hf 14a snoop3、然后將卡片放在天線上，多次讀取。4、 當讀取完成后等待大約 5秒，按下板子上的黑色按鈕。（短按，按一下OK 了。）此時板子上的LED燈都滅掉5、回到命令終端輸入命令。命令： hf mf list如果讀取成功，則可以看見如下圖顯示然后再利用第三方軟件即可算出 key 值來。（演示軟件為 crapto1gui1.01）如果讀取失敗，則輸入命令以后無

17、數(shù)據(jù)附錄 1 常見默認 key：00000ffe2488000000000000 b0b1b2b3b4b5 4d3a99c351dd 1a982c7e459a aabbccddeeff 714c5c886e97 587ee5f9350f a0478cc39091 533cb6c723f6 8fd0a4f256e9 a64598a77478 26940b21ff5d fc00018778f7 00000ffe2488 5c598c9c58b5 e4d2770a89be 434f4d4d4f41 434f4d4d4f42 47524f555041 47524f5550420297927c0f77

18、ee0042f88840 722bfcc5375f f1d83f964314 4AF9D7ADEBE4 2BA9621E0A36 fc00018778f7 00000ffe2488 0297927c0f77 ee0042f88840 000000000001 a0a1a2a3a4a5 b127c6f41436 12f2ee3478c1 34d1df9934c5 55f5a5dd38c9 f1a97341a9fc 33f974b42769 14d446e33363 c934fe34d934fc00018778f7附錄2部分常用命令與注解:Help主幫助命令help顯示幫助data圖形窗口/緩沖區(qū)

19、數(shù)據(jù)操作等等exit退出Proxmark3的終端環(huán)境hf高頻相關命令hw硬件檢測相關命令If低頻相關命令quit退出Proxmark3的終端環(huán)境等同exithw硬件相關檢測命令help顯示幫助detectreaderT/'h'-檢測外部讀卡器頻率區(qū)域（選項“ l ”或“h”限制到低頻LF或高頻HF）fpgaoff設置FPGA為關閉lcd<16進制命令 > < 次數(shù) > -發(fā)送命令/數(shù)據(jù)到LCDlcdreset重置LCDreadmem從芯片中讀取10進制地址的存貯器reset重置 Proxmark3setlfdivisor<19 - 255>-

20、在 12Mhz/（基數(shù) +1）驅動 LF 天線setmux<loraw/hiraw/lopkd/hipkd>-設置 ADC多路復用器為一個特定的值tune測量天線的調諧versi on顯示Proxmark3的固件版本信息If低頻相關命令help顯示幫助cmdread<off> V'O'> V'1'> <命令> 'h'-在讀取之前發(fā)送命令來調整LF讀卡器周期（以微妙為單位）（'h'選項為134）em4xEM4X卡類相關命令flexdemod解調FlexPass樣本hidHID卡類相關命

21、令in dalademod'224'-解調 Indala 樣本的 64 位 UID （選項'224'是 224位）in dalacl oneUID 'l'-克隆Indala到T55x7卡（標簽必須在天線上）（UID為16進制）（選項T 表示224位UID）read'h'-讀取125/134 kHz的低頻ID標簽（選項'h'是134）simGAP- 從可選GAP的緩沖區(qū)模擬低頻標簽（以微秒為單位）simbidir模擬低頻標簽（在讀卡器和標簽之間雙向傳輸數(shù)據(jù)）simma n<時鐘 > < 比特率>

22、; GAP模擬任意曼徹斯特低頻標簽tiTI卡類相關命令hitagHitag標簽與應答相關vchdemod'clone'-解調VeriChip公司樣本t55xxT55xx卡類相關命令PCF7931PCF7931卡類相關命令Lf em4x （EM4X類卡相關命令）help顯示幫助em410xread時鐘速率- 提取EM410X標簽的IDem410xsim<UID>- 模擬 EM410X標簽em410xwatch讀取EM410X標簽，2000次取樣獲取IDem410xwrite<UID> <'0' T5555> <'1

23、' T55x7> -把 EM410x UID寫入T5555(Q5)或 T55x7 標簽em4x50read從EM4x50標簽中讀取數(shù)據(jù)readword<Word>-讀取EM4xxx字符數(shù)據(jù)readwordPWD<Word>vPassword>-在密碼模式下讀取EM4xxx字符數(shù)據(jù)writeword<Word>-寫入EM4xxx字符數(shù)據(jù)writewordPWD<Data>vWordxPassword>-在密碼模式下與入 EM4xxx 字符數(shù)據(jù)Hf高頻相關命令help顯示幫助14aISO14443A卡的相關命令14bISO1

24、4443B卡的相關命令15ISO15693卡的相關命令epa德國身份證的相關命令legicLEGIC卡的相關命令iclassICLASS卡的相關命令mfMIFARE卡的相關命令tune連續(xù)測量高頻天線的調諧Hf 14a相關命令help顯示幫助list列出竊聽到的ISO14443A類卡與讀卡器的通信歷史記錄reader讀取ISO14443A類卡的UID等數(shù)據(jù)cuids收集指定數(shù)目的隨機 UID，顯示幵始和結束時間sim<UID> -模擬 ISO14443A類標簽snoop竊聽ISO14443A類卡與讀卡器的通信數(shù)據(jù)raw使用RAV格式命令發(fā)送指令到標簽Hf mf （ MIFARE卡的相關命令）help顯示幫助dbg設置默認調試模式rd