作者:平安@涂鸦智能安全实验室
随着国家对网络安全的建设不断加强,类似护网形式的攻防演练行动会越来越多。而我们从线上进入目标的难度也会越来越难,这个时候线下的物理攻击将逐渐流行起来。本次介绍通过各种社工方法获取到目标的门禁卡,我们怎么做到不引起注意,进行持久化维持权限。
在我们复制拿到手的门禁卡之前,我们要了解一些关于卡的知识。
IC卡基础
目前市面上的门禁卡主要有ID卡、IC卡、CPU卡。而IC卡是运用最广泛的。
IC卡:全称集成电路卡(Integrated Circuit Card),又称智能卡(Smart Card)。特点:可读写,容量大,有加密功能,数据记录可靠。常用:一卡通系统,消费系统。目前主要有PHILIPS的Mifare系列卡。
ID卡: 全称身份识别卡(Identification Card)。特点:是一种不可写入的感应卡,含固定的编号,只能读取ID号。常用:门禁。主要有台湾SYRIS的EM格式,美国HID,TI,MOTOROLA等各类ID卡.
CPU卡:也称智能卡,卡内的集成电路中带有微处理器CPU、存储单元(包括随机存储器RAM、程序存储器ROM(FLASH)、用户数据存储器EEPROM)以及芯片操作系统COS。特点:外观可见芯片。
刚出厂的还未使用过的卡我们一般称为白卡,在某宝上都能买到。我们本次主要讲市面上使用最广的IC卡,ID卡由于本身的不安全性,目前使用较少。除了可以使用卡片外,还可以用是钥匙卡扣,手机贴等等。
如上图,这是IC卡内信息的一部分
1、每张IC卡都有16个扇区。从扇区0-扇区15,每个扇区都有4个区块,每个区块占16个字节。内容采用16进制记录。
2、0扇区的0区块,有着每张IC卡都有的卡号,厂商信息等。除了0扇区,其他每个扇区的0,1,2区块都可以用来存储数据。(0扇区的1,2也能存放)。
3、3区块为控制块,用来存放密码和控制权限。不能用于数据存储。从厂家采购回来的IC卡都有密码,默认密码都是FF FF FF FF FF FF(255 255 255 255 255 255)。
每个区块都有2个密码存储位,前6个字节为KeyA,后6个字节为KeyB。中间的4个字节为存储控制。默认都是FF 07 80 69。
一般的门禁卡和电梯卡判断是否有权限,都是通过nfc读取卡内区块0中的卡号和校验位。通过读取到的信息去对应的服务器上去匹配是否拥有权限。其他扇区一般记录着你使用次数等信息,如果要想拷贝一张门禁卡,其实只要复制0扇区信息出来到另一张卡上即可。
读取工具
能在手机上进行nfc读取的工具有不少,如NFC tools、MifareClassic Tool等。
也有专门的读取器,PM系列工具。目前市面上已经是PM6了。
使用手机读取数据,推荐MifareClassic Tool
工具下载链接:https://github.com/ikarus23/MifareClassicTool
条件:APK,只能安装在安卓手机上,并且手机支持nfc,带NXP芯片。
MifareClassic只能读取M1的卡,如果读取的卡不是M1的卡,会有相应的提示,所以不用担心如何判断是否是M1卡。
(Mifare卡俗称M1卡,是IC卡的一种,原装芯片通常被称为NXP卡或飞利浦S50卡。兼容国产芯片有复旦的M1卡,和华鸿的M1卡。是世界上使用量最大、技术最成熟、性能最稳定、内存容量最大的一种感应式智能IC卡。)
下图是MifareClassic工具的功能模块
常见的门禁卡只需要用到读标签、写标签、以及编辑/分析转储文件功能。
写卡工具我还是更推荐PM设备,价格100左右。但是我们在社工获取到目标门禁卡的时候,可能不方便携带PM设备去保存数据以及写卡,所以Mif工具读取数据是最方便隐秘的。
MifareClassic tool读取
使用时将需要读取的IC卡放于手机背面,点击Mif工具的读标签,将读到IC卡信息保存成dump文件格式。
Mif工具读取卡的时候有下面两个文件勾选,这两份文件是用于爆破IC卡每个扇区的keyA和keyB密钥的,我们想要知道卡的信息,就要知道每个扇区3区块中的密钥,才能得到里面的内容。理论上密钥keys文件足够大,就能得到所有IC卡中的信息。如果出现提示某些扇区无法读取或者死扇区,那就是keys文件没有爆破出卡的密钥。当然你也可以替换成自己的keys文件。
我们拿到目标dump文件信息即可,接下来我推荐使用PM设备进行写卡。
复制门禁卡
步骤:
1、准备一张白卡(IC白卡一般有CUID和UID卡等等,CUID卡的扇区0是可以被反复复擦写的,UID实际是不能的,CUID还能绕过一般的防火墙识别,所以记得购买的是CUID卡),要将目标的门禁卡信息拷贝进白卡,我们将白卡放在读卡器上。
2、使用读取器自身的读取软件,使用一键写卡功能,之后需要格式化卡片,再导入之前保存的dump文件,最后写成普通M1卡(绕过防火墙)。至此这一张白卡就复制成了,可以代替原卡使用了。
3、当然如果想更方便,使用手机或者手环之类的设备来刷门禁,目前只支持华为的P系列、mate30和小米手环手机,只需要通过,比如小米运动中添加一张空白卡,在白卡写成M1卡步骤前读取我们导入了dump的白卡,再通过步骤2的所有步骤就能写入成功,只不过将白卡换成了手机。
社工环节中进入目标是最为关键的一部分,尽量动作要小,效果要还。在演练期间的物理权限要做到持久化个人认为很重要,当然演练结束需要擦除相应信息,切记遵守法律!
来源:安全客