【乾貨】門禁,真的安全嗎

2021-02-14 漏洞盒子VulBox

作者:雪碧0xroot@漏洞盒子安全團隊,文中提及的部分技術可能帶有一定攻擊性,僅供安全學習和教學用途,禁止非法使用!    

0×00 前言

國際黑客大會Defcon傳統之一:開鎖!因為黑客認為鎖也是一種安全挑戰。我們在黑客題材電影、電視劇中也常常看到:男主女主利用高超的黑客技能侵入目標公司的網絡,甚至利用社會工程學突破門禁防護潛入對方辦公地點進行物理攻擊,如入無人之境。(神盾局、黑客軍團、Who am i 貌似都有類似情節)

北上廣不相信眼淚 16集    

在這一背景下,我們不經思考:門禁系統作為企業物理第一道屏障,這些硬體基礎設施安全是否一直都被忽視?    

0×01 準備工作


1.1 進入PM3工作終端


1.2 測試天線


1.3 設備固件


0×02 爆破&枚舉秘鑰2.1 讀取卡片


2.2 執行NESTED攻擊,枚舉&爆破key:


成功獲得卡片key。

2.3 利用PRNG漏洞,執行mifare 「DarkSide」攻擊


通過這一方式,同樣可以獲得卡片的key,不過很多時候還是要靠運氣,因為不是所有的卡片都存在這種漏洞。如果不存在PRNG漏洞,我們則需要通過嗅探卡片和讀卡器之間通信的數據包解出卡片的Key。

使用PM3進行中間人攻擊嗅探通信數據包的方法可參考:【RFID Hacking③】ProxMark3使用案例:嗅探銀行閃付卡信息 ,以及RadioWar團隊的 利用Proxmark3監聽M1卡交互過程,算出某一區的key    

0×03 dump卡片數據&數據處理

使用上述方法,我們成功獲得卡片key,接下來我們便可以使用key導出卡片中的所有數據(dumpdata)


在這一過程中,在PM3當前工作目錄下生成了dumpkey.bin文件:

接下來我們執行hf mf dump便能獲得整張卡片的數據:

此時,卡片數據已經被導出到PM3主目錄下的dumpdata.bin這個二進位文件中,:

但是PM3並不能識別、使用二進位文件,我們還需要使用腳本將這一個二進位文件轉換成eml格式的文本信息:


dumptoemul腳本成功將dumpdata.bin二進位文件轉換成以卡片ID值命名的eml格式文件:

我們來對比一下這兩個文件:

效果已經很明顯了,腳本已經將亂碼的二進位文件轉換成了txt文本信息。

dumptoemul.lua腳本的功能也可以用Python語言來實現:bin2txet.py


清除仿真內存的各區塊數據:

hf mf eclr

把從卡片中導出的數據加載到PM3設備中:

proxmark3> hf mf eload 2CF0550B       Loaded 64 blocks from file: 2CF0550B.eml 

使用PM3模擬門禁卡:

proxmark3> hf mf sim uid:N/A, numreads:0, flags:0 (0x00)        #db# 4B UID: 2CF0550B           proxmark3>

這時我們可以使用PM3來實現通過門禁。另外一種方式:把從卡片導出的數據從PM3設備內存中克隆到白卡裡,使用克隆卡片通過門禁

proxmark3> hf mf cload e         Cant get block: 1

bingo

0×04 安全建議

目前我國80%的門禁產品均是採用原始IC卡的UID號或ID卡的ID號去做門禁卡,沒有去進行加密認證或開發專用的密鑰,其安全隱患遠比Mifare卡的破解更危險,非法破解的人士只需採用專業的技術手段就可以完成破解過程。

門禁廠商、管理員:做好防護工作加強安全意識,儘量避免使用默認key、安全性低的key;對卡片和門禁讀卡器使用身份認證&驗證機制,絕對不能直接使用原始IC卡的UID號或ID卡的ID號去做門禁卡!

用戶:妥善保管自己的門禁卡,避免信息洩露。

物聯網IOT的高速發展,無線通信技術的應用也日趨廣泛。本文僅通過門禁系統案例揭露NFC、RFID相關協議&技術存在的一些安全隱患。

我們現實生活中也有真實存在的案例:

2010年北京一卡通被爆存在漏洞,可隨意修改卡內餘額,個人猜測這裡很有可能是通過利用mifare卡片的PRNG漏洞來實現的。

2014年,國外安全研究員發現臺灣鐵路、公交系統的悠遊卡(EasyCard)同樣存在PRNG漏洞,可修改卡片餘額,並向悠遊卡公司反饋報告了這一漏洞:

0×05 Refer

Mifare Classic 1k – cracker les clefs et lire le tag avec Proxmark3

offensive-security.com : Cloning RFID Tags with Proxmark 3

RadioWar : Proxmark3使用案例

DefCon 23 HOW TO TRAIN YOUR RFID HACKING TOOLS

backtrack-linux.org : RFID Cooking with Mifare Classic

BlackHat 2013 USA RFID Hacking Live Free or RFID Hard 

*本文作者:雪碧0xroot@漏洞盒子安全團隊,轉載須註明來自FreeBuf


相關焦點

  • 智能人臉識別門禁系統完成從傳統門禁的進化,推進智慧小區的建設
    在幾年前的小區或者是出租房隨處可見的IC卡+密碼的門禁,相信大家都比較熟悉,也飽受傳統門禁「認卡不認人」和忘記開鎖密碼的詬病。隨著國家對智慧社區建議的大力推廣,智能人臉識別門禁在近兩年已經在大部分小區和出租房迅速普及起來。
  • 很多小區都安裝了門禁,效果如何?門禁洞開隨便進出無人管
    「巡檢前,社區或物業會在小區張貼統一的《燃氣安全巡檢通知單》。上面印有地址、樓層、巡檢日期和入戶人員的工牌號;此外,通知單上還會印著燃氣集團客戶端的二維碼和熱線電話96777。我們也發現過偽造的通知單,但上面沒有二維碼和電話號碼,這也是分辨真偽的方法之一。」這位負責人介紹說。「燃氣集團的工人上門巡檢時會統一身著深藍色的工作服。
  • 深度剖析門禁對講機
    門禁對講        隨著科技的進步,對講機在安防行業應用越來越廣泛,門禁對講系統就是這樣產生的。門禁對講就是將對講機應用在門禁系統上,用戶通過對講機進行通話或視頻通訊,門禁對講系統主要由對講主機、對講分機、UPS電源、電控鎖和閉門器等組成。
  • C3通道門禁管理系統介紹
    C3通道門禁管理系統介紹一: C3通道門禁管理系統最小運行單元結構示意圖:C3通道門禁管理系統功能介紹智慧卡門禁管理系統的基本功能是:用智慧卡代替傳統的人工查驗證件放行、用鑰匙開門的落後方式,系統自動識別智慧卡上的身份信息和門禁權限信息,持卡人只有在規定的時間和在有權限的門禁點刷卡後,門禁點才能自動開門放行允許出入,否則對非法入侵拒絕開門並輸出相關信號。
  • 智能工地人臉識別門禁系統解決方案
    智能工地是近年來國家基礎建設重點關注的行業,為了解決拖欠農民工工資、公安安全等的要求,危險源的分析與政物聯針對建築行業工地安全事視化的管理系統、塔式超重機安全監控的管理系統、工程車輛定位系統降機安全的監控系統、數字質安監綜合管理的系統等,人臉識別門禁系統有效幫助政府主管部門管理建築工地施工作業的監管,保障工人生命安全,提高政府效率
  • 淺析門禁對講行業發展的硬傷與不足
    而我國門禁對講行業仍處於發展階段,且各方面都不完善。門禁對講系統中出現的問題除了技術應用的水平不高外,技術產品尚不能完全適應市場需求也是主要原因。有些門禁對講系統雖然已投入使用,但操作不便、易損壞,門禁的功能名存實亡,不能正常工作。以下簡要分析一下門禁對講行業發展的硬傷與不足。
  • 門禁系統如何與消防、監控系統聯動的?你知道嗎?
    我們在做一些項目的時候,經常會設計到門禁系統與消防系統聯動的解決方案,還有一些門禁系統與視頻監控系統聯動的解決方案,基本簡單的介紹一下,他們是如何聯動的?正文:(一)門禁系統與消防火警系統的聯動:在人流量比較密集的場所,在出現火警、恐怖襲擊等緊急情況下人員疏散比較困難,尤其這些場所安裝了門禁系統後,這個問題就表現得尤為明顯,平時安全保障的「門神」,此時就成為了人們逃生的重大障礙。因此,門禁系統必須具備消防火災聯動功能。
  • 小令老師說門禁|為什麼485門禁必然會取代韋根?
    對於門禁而言,指的是讀頭和控制器之間的通訊。傳統門禁很多採用韋根通訊方式,而現在485更為普及,大部分韋根門禁也完成了485門禁的改造升級。那什麼是韋根和485?各自有什麼優缺點?為什麼韋根逐漸被485取代?跟著小令老師一起了解。
  • iOS14NFC怎麼複製門禁卡?iOS14NFC複製門禁卡的方法[多圖]
    那麼現在全新的iOS14系統是否支持添加或複製門禁卡呢?下面小編也為大家帶來了iOS14NFC複製門禁卡的方法介紹,感興趣的小夥伴們一起來看看吧!現在很多居住區都會直接連接手機使用,用戶直接使用手機就可以自由的出入了,那麼升級手機系統以後,用戶如果需要複製門禁卡,那麼需要如何進行操作呢?有興趣的用戶就來馬上了解一下這個服務吧!
  • 小區單元視頻門禁及可視對講門禁系統趨勢
    現在居民及小區的流動人員都在關注一個詞,那就是安全,誰都想要安全的過日子,那麼小區單元視頻門禁及可視對講門禁系統就應運而生了。而且隨著社會經濟的快速發展,人們在衣、食、住、行方面的質量也在提高。
  • iOS14NFC複製門禁卡方法
    那麼現在全新的iOS14系統是否支持添加或複製門禁卡呢?下面小編也為大家帶來了iOS14NFC複製門禁卡的方法介紹,感興趣的小夥伴們一起來看看吧!那麼現在全新的iOS14系統是否支持添加或複製門禁卡呢?下面小編也為大家帶來了iOS14NFC複製門禁卡的方法介紹,感興趣的小夥伴們一起來看看吧!
  • 【曝光】崇左正規門禁系統品牌
    經過多年的實踐和發展,擁有一支專業、精通電子電控線路技術、設計安裝、急修保養的技術隊伍,技術雄厚,專業快速、安全優質地為廣大新老客戶提供設計安裝、解決各種電子電控線路疑難故障和保養的服務,深受廣大客戶的好評。本廠本著信任質量服務的宗旨,熱情為廣大新老客戶服務。業務簡介:一、卷閘門:包括電動門的四大基本分類大家知道嗎?
  • 人臉識別門禁的七大優勢!
    小區門禁系統也由最初的人防逐漸發展為技防+人防的模式。智能人臉識別門禁系統的出現,不僅降低了小區物業安保人員的人工費用投入,提高了工作效率。同時,基於人臉識別技術提高了識別準確率。可以更好的防止陌生人進入小區或者學校,增加人們生活的安全感。那麼智能人臉識別門禁系統有哪些特點呢?一、識別準確率高,運行穩定。人員識別準確率可達95%。
  • 你家的門鎖真的安全嗎?關鍵就看這一點
    你家的門鎖真的安全嗎?澎湃新聞·澎湃號·政務 你知道以下哪種鑰匙比較安全嗎
  • 福州多個小區安裝人臉識別門禁,個人信息如何保護?
    當前,人臉識別門禁系統已逐步在福州推廣,部分小區強制推行人像採集,觸碰了人們的敏感神經,而信息不對稱、不透明加劇了人們對信息洩露的擔憂。小區門禁採用人臉識別是否有相應的法律依據?物業有權強制採集居民個人信息嗎?收集到的個人生物信息是否得到了妥善保護?記者就此進行調查。
  • 選購門禁對講系統需要注意哪些事項?
    作為人身安全和居家財產保障的重要設備之一,門禁對講在其中發揮著重要的作用,不僅僅如此,門禁對講在我國智慧城市建設推進進程中,以及促進社會和諧等等方面,也起到了不可預估的重要作用,潛力不可預估。如今,國內大部分新建商品房項目以及在老舊小區升級方面,也都開始陸陸續續的安裝和升級門禁對講系統,作為家庭和社區智能化升級之間的橋梁,由此可見,門禁對講系統在其中的重要性,那麼,在選購產品的時候,我們需要了解或注意哪些問題才能更好的選到適合自己的產品呢?
  • 上海復旦國密SM1算法CPU卡門禁讀卡器
    1.1 產品簡介廣州盛炬智能科技國密CPU卡讀卡器是新研發的滿足高安全要求的非接觸智能門禁讀卡器,支持復旦微電子FM12AG08\FM12AG16 國密SM1算法CPU卡,讀卡器採用32位ARM處理和讀卡專用射頻晶片
  • 廠區安全注意事項宣告書(參考示例)
    本公司為遵紀守法企業,我公司各項生產經營活動均嚴格遵守國家安全環保相關法令規定,為防止意外事故發生,確保廠區及您個人人身安全,現將廠區安全注意事項宣告如下:一、安全衛生政策:1、遵守法規承諾①守環保安全衛生相關法規要求。
  • 門禁控制器怎麼接線_門禁控制器接線圖說明
    門禁控制器接線原理   門禁控制器原理圖工作在兩種模式之下。一種是巡檢模式,另一種是識別模式。在巡檢模式下,控制器不斷向讀卡器發送查詢代碼,並接收讀卡器的回覆命令。這種模式會一直保持下去,直至讀卡器感應到卡片。
  • 小區刷臉門禁App要求上傳人像及房產證
    報告顯示,四成被測應用(包括App、小程序和公眾號)的隱私政策透明度處於較低及以下水平,學校管理、商業零售類應用的透明度平均分最低,甚至有商場欺騙誘導用戶「刷臉」;部分小區門禁App明文傳輸人臉照片、房產證、租房合同等敏感信息,存在較高的安全風險。