3C王者

⼀、可以模擬的卡⽚類型

帶有全功能NFC功能的⼿機和NFC手環可以模擬的⻔卡類型是13.56MHZ的MIFARE Classic的1K卡，MIFARE Classic卡是NXP（恩智浦）推出的IC卡，也是我們⽬前最常⻅的IC卡。這種我們俗稱的M1卡，由於設計的缺陷，在已知任意扇區的密鑰的情況下，通過Nested Authentication 攻擊可以快速的獲取到所有加密扇區的密碼，這也為我們解密加密卡提供瞭可能性。其他所有⾮13.56MHZ頻率的IC 卡⼿環或⼿機都是沒法模擬的。

⼆、設備和所需硬件

1、帶有NFC功能的⼿機1臺

使⽤帶有NFC功能的⼿機來檢測卡的基本信息，我使⽤的是⼩⽶MIX2S⼿機。我喜歡用MIFARE Classic Tool（MCT）這個APP，可以快速⽅便的檢查卡⽚類型，查看M1卡已知區段，讀寫卡⽚內容等。 NFC ⼿機其實也並不是必需的，隻是很多操作在 NFC ⼿機上會更⽅便⼀點⽽已。

2， NFC/RFID 模塊和USB轉TTL模塊⼀套（或PM3/變⾊⻰等）

PN532芯⽚是NXP公司開發的NFC讀寫芯⽚，對⽐ACR112U芯⽚，價格更低，且在⼀定成功率上⽀持解密全加密卡。在通過⼿機檢測卡⽚是⾮全加密卡的情況下，強烈推薦PN532卡系列。某寶上，PN532 NFC/RFID v3 模塊 + PL-2303HX USB 轉 TTL 模塊整套的價格在三⼗多元。（購買時，記得讓商傢幫你把插線底座焊接好，如果連 USB2TTL 模塊⼀起買的話，最好讓商傢⼀起幫你連接好。）

3、電腦⼀臺，驅動和軟件若⼲把連接好的模塊插到電腦的USB⼝上，根據操作系統的不同，安裝相應的驅動程序。（一般商傢都會打包的有驅動程序 ）

NFC上位機解密軟件（商傢給的有）

4、⼀張可以讀寫的CUID IC卡 （商傢贈送有或另買）某寶上，每張1-3元不等

三、檢測卡⽚類型和是否加密

打開安裝好的MCT⼯具，點擊“⼯具”-“顯示標簽信息”，在“標簽類型和⼚商”中，如果顯示為“MIFARE Classic 1k, NXP”的話，就可以確定此卡為M1卡。檢測卡⽚類型在MCT⼯具中，點擊“讀標簽”，選中全部的密鑰，等讀取完畢後，0-15個扇區中，如果有部分扇區紅⾊的“沒密鑰發現（或死扇區）”的提示，就表示是⾮全加密卡，這類卡⽚是可以快速的解密出來的。

沒密鑰發現（或死扇區）

如果全部扇區都是這個提示的話，那這張卡⽚就是不幸的全加密卡。⾮全加密卡（部分加密卡）

好啦，現在這張卡是沒辦法直接在 NFC⼿機模擬⻔卡功能上直接模擬成功的。

我們繼續下⼀步吧

四、解密密鑰

1、解密⾮全加密卡

介紹NFC上位機吧。

打開PN532⼯具包，打開“上位機”⽬錄，雙擊運⾏“NFC_READER_crack.exe”，

同意聲明後進⼊程序界⾯：

軟件聲明

上位機主界面

把卡⽚放在PN532模塊上，點擊“讀整卡：讀取卡⽚內容”按鈕：NFC上位機解密中，經過⼏分鐘到⼏⼗分鐘甚⾄⼏⼩時不等的時間，NFC上位機通常就會解密成功，顯示出如下界⾯：

解密成功

圖中的100000000003就是對應之前⽤⼿機MCT⼯具查看到的扇區8和扇區9的密鑰。點擊數據的左上⻆的位置，可以把解密出的信息保存下來。

五、模擬卡⽚

密鑰我們有瞭，現在到瞭我們最重要的⼀步，模擬卡瞭，模擬⻔⼝過程中，可以使⽤PN532模塊之間寫，也可以⽤⼿機上的MCT⼯具來寫。

以MCT⼯具為例。

1、增加密鑰

打開MCT⼯具，點擊“編輯/增加密鑰⽂件”，打開base.keys⽂件，在⽂件內容中，把上⼀步獲取的密鑰添加到⽂件內容的最下端：

增加密鑰

增加密鑰後保存，可以給這個密鑰⽂件重新取⼀個名字，這樣在操作IC卡讀寫時隻使⽤ 這個密鑰⽂件，可以讓讀寫的速度快⼀點。

2、讀標簽

打開MCT⼯具，點擊“讀標簽”按鈕，在“映射密鑰到扇區”界⾯上，隻選中剛剛新增密鑰的那個密鑰⽂件，把你的IC卡放到⼿機的NFC區域後，點擊“啟動映射並讀取標簽”按鈕。

讀取標簽卡⽚讀取成功

對⽐⼀下之前我們讀加密卡，扇區8和扇區9的內容都出來瞭，點擊右上⻆的保存按鈕，把讀出來的內容保存到⽂件中。

3、寫標簽到IC卡

IC卡在扇區0中保存著卡⽚的ID和⼚商信息。上⾯說到過，NFC⼿機的⻔卡模擬都緊緊⽀持模擬未加密的IC卡，也就是僅僅⽀持扇區0⾥有數據，且密碼是默認FFFFFFFFFFFF的卡⽚。所以我們這⼀步要造⼀個隻有扇區0有信息的IC卡。

打開MCT⼯具，點擊“寫標簽”按鈕，拿出準備好的可以讀寫的 IC卡放在⼿機NFC卡區域，在“寫標簽”界⾯中，選中“寫轉儲（克隆）”項⽬，選中“顯示選項”，然後選中“⾼級：使能⼚商塊寫⼊”，然後點擊“選擇轉儲”按鈕，選中剛剛存儲的卡⽚內容項⽬，點擊“選擇轉儲”按鈕。在接著出現的“寫扇區”窗⼝中，僅選中“扇區0”，然後點擊“好的”。

寫標簽界⾯寫扇區0界⾯

在這⼀步中，如果寫⼊到IC卡的是全部扇區，那麼這張IC卡就等於是你原來卡⽚的復制卡，是有正常⻔禁功能的，如果你⽤的⼿機是iPhone等沒有NFC功能的，那麼完全可以把IC卡寫好後拆出線圈放進⼿機和⼿機套之間，給⼿機增加⻔禁功能。

4、寫標簽到手機

當MCT提示寫⼊成功時，就可以拿 NFC手機來模擬這張⻔卡瞭。打開⼩⽶錢包，點擊“⻔卡模擬”，根據提示，把剛剛寫瞭扇區0的IC卡放在⼿機上進⾏模擬。檢測⻔⼝模擬⻔卡模擬成功後，⼿機⾥有瞭⼀張⻔⼝。但是，現在⼿機⾥的⻔卡是沒法刷卡成功的，因為其中的加密信息並沒有在⾥⾯。下⼀步，我們就是要把加密內容再寫進⼿環中。

打開手機刷卡界面，將手機放在PN532模塊上，先讀取卡片，讀取成功後，再寫卡，選擇剛剛上位機保存的DUMP文件，寫入成功後，就可以用手機刷門卡瞭