門禁,真的安全嗎

國際黑客大會Defcon傳統之一：開鎖!因為黑客認為鎖也是一種安全挑戰。

　　我們在黑客題材電影、電視劇中也常常看到：男主女主利用高超的黑客技能侵入目標公司的網絡，甚至利用社會工程學突破門禁防護潛入對方辦公地點進行物理攻擊，如入無人之境。(神盾局、黑客軍團、Who am i 貌似都有類似情節)

        

　                                               　北上廣不相信眼淚 16集

　　在這一背景下，我們不經思考：門禁系統作為企業物理第一道屏障，這些硬體基礎設施安全是否一直都被忽視?

　　1 準備工作

         

　　1.1 進入PM3工作終端

        

　　1.2 測試天線

       

　　1.3 設備固件

       

　　2 爆破&枚舉秘鑰

　　2.1 讀取卡片

        

　　2.2 執行NESTED攻擊，枚舉&爆破key:

        

　　成功獲得卡片key。

　　2.3 利用PRNG漏洞，執行mifare 「DarkSide」攻擊

          

　　通過這一方式，同樣可以獲得卡片的key,不過很多時候還是要靠運氣，因為不是所有的卡片都存在這種漏洞。如果不存在PRNG漏洞，我們則需要通過嗅探卡片和讀卡器之間通信的數據包解出卡片的Key。

　　使用PM3進行中間人攻擊嗅探通信數據包的方法可參考：【RFID Hacking③】ProxMark3使用案例：嗅探銀行閃付卡信息 ，以及RadioWar團隊的 利用Proxmark3監聽M1卡交互過程，算出某一區的key

　　3 dump卡片數據&數據處理

　　使用上述方法，我們成功獲得卡片key,接下來我們便可以使用key導出卡片中的所有數據(dumpdata)

      

　　在這一過程中，在PM3當前工作目錄下生成了dumpkey.bin文件：

       

       

       

　　此時，卡片數據已經被導出到PM3主目錄下的dumpdata.bin這個二進位文件中，：

        

　　但是PM3並不能識別、使用二進位文件，我們還需要使用腳本將這一個二進位文件轉換成eml格式的文本信息：

        

　　dumptoemul腳本成功將dumpdata.bin二進位文件轉換成以卡片ID值命名的eml格式文件：

       

　　我們來對比一下這兩個文件：

       

　　效果已經很明顯了，腳本已經將亂碼的二進位文件轉換成了txt文本信息。

　　dumptoemul.lua腳本的功能也可以用Python語言來實現：bin2txet.py

       

　　清除仿真內存的各區塊數據:

　　hf mf eclr

　　把從卡片中導出的數據加載到PM3設備中：

　　proxmark3> hf mf eload 2CF0550B Loaded 64 blocks from file: 2CF0550B.eml

　　使用PM3模擬門禁卡：

　　proxmark3> hf mf sim uid:N/A, numreads:0, flags:0 (0x00) #db# 4B UID: 2CF0550B proxmark3>

　　這時我們可以使用PM3來實現通過門禁。另外一種方式：把從卡片導出的數據從PM3設備內存中克隆到白卡裡，使用克隆卡片通過門禁

　　proxmark3> hf mf cload e

　　Cant get block: 1

　　bingo

　　4 安全建議

　　目前我國80%的門禁產品均是採用原始IC卡的UID號或ID卡的ID號去做門禁卡，沒有去進行加密認證或開發專用的密鑰，其安全隱患遠比Mifare卡的破解更危險，非法破解的人士只需採用專業的技術手段就可以完成破解過程。

　　門禁廠商、管理員：做好防護工作加強安全意識，儘量避免使用默認key、安全性低的key;對卡片和門禁讀卡器使用身份認證&驗證機制，絕對不能直接使用原始IC卡的UID號或ID卡的ID號去做門禁卡!

　　用戶：妥善保管自己的門禁卡，避免信息洩露。

　　物聯網IOT的高速發展,無線通信技術的應用也日趨廣泛。本文僅通過門禁系統案例揭露NFC、RFID相關協議&技術存在的一些安全隱患。

　　我們現實生活中也有真實存在的案例：

　　2010年北京一卡通被爆存在漏洞，可隨意修改卡內餘額，個人猜測這裡很有可能是通過利用mifare卡片的PRNG漏洞來實現的。

　　2014年，國外安全研究員發現臺灣鐵路、公交系統的悠遊卡(EasyCard)同樣存在PRNG漏洞，可修改卡片餘額，並向悠遊卡公司反饋報告了這一漏洞：

         

                 

　　5 Refer

　　Mifare Classic 1k – cracker les clefs et lire le tag avec Proxmark3

　　offensive-security.com : Cloning RFID Tags with Proxmark 3

　　RadioWar : Proxmark3使用案例

　　DefCon 23 HOW TO TRAIN YOUR RFID HACKING TOOLS

　　backtrack-linux.org : RFID Cooking with Mifare Classic

　　BlackHat 2013 USA RFID Hacking Live Free or RFID Hard

來源：漏洞盒子VulBox

狗汪汪玩轉無線電 -- 溫哥華天車 RFID 票務系統

RFID安全：一次M1卡（洗澡卡、開水卡，健身卡）破解歷程

論如何優雅地蹭飯：克隆篡改公司飯卡（M1卡）

長按公眾號，可「置頂」

----

要聞、乾貨、原創、專業
關注「黑白之道」 微信：i77169
華夏黑客同盟我們堅持，自由，免費，共享！