本文只作技术研究之用，请勿用于非法用途，否则后果自负。
如今网络上能找到RFID安全类的信息非常的少，原因我就不说了，大家也明白。大家如果要研究RFID安全可以去RadioWar或者Freebuf多看看相关的文章，我在后面也会放出一些相关的资料供大家下载研究，资料大多数是外语资料，所以说外语一定要学好！
这次案例的主角是某学校可怜的水卡（热水卡），先小小地上镜一下先。

用NFC手机上安装的MCT(Mifare Classic Tool)查看，水卡的确是Mifare Classic 1k类型的。

此次破解用到的工具有：电脑一台，ACR122U一台，带NFC功能的手机一台，水卡一张

-------------------------------------------------转帖-------------------------------------------------------

在进行破解工作之前，我们要为电脑搭建相应的环境，大家需要在电脑上安装.NET Farmwork 4以及Java，请自行上网下载安装，后面用到的软件依赖这两个运行库。

安装完运行库之后就需要安装ACR122U的驱动了

安装完驱动和SDK之后，把ACR122U连接电脑，设备就能正常工作了。把我们的水卡放上去，ACR122U的蜂鸣器就会响并且LED的颜色也会改变。

在此之前我已经尝试过用MCT自带的常见的密钥去访问水卡，发现有部分扇区使用的不是默认密钥，被加密了，对于这种不是所有扇区加密的卡，我们可以采用验证漏洞把其他扇区密码破解出来。
验证漏洞可利用的程序是mfoc，mfoc在Windows上的版本叫mfocgui，但mfocgui对于刚刚接触RFID安全的同学来说有点麻烦，所以这次直接采用M1卡服务程序（其实就是简化版的mfocgui）。
打开之后，程序界面非常简洁，只有一个按钮，就是开始破解。在读卡器列表那我已经见到我的ACR122U了，所以直接按开始破解就可以。
然后接下来就等待程序自己破解密钥。
破解成功后根目录就生成了这张卡的dump文件了，大小是1kb，整张卡就被读取出来了。

但mfoc原本是运行在Linux环境下的，移植到Windows下的mfocgui生成的dump文件是并不能直接使用的，还需要一个修复工具fixdump（下载fixdump），将1kb的dump文件修复成4kb的dump文件才行。
fixdump是命令行操作，并且必须安装了.NET Farmwork 4运行库才可以使用，为了方便命令操作，我们将dump文件拷贝到fixdump的目录里，打开cmd进行修复。命令很简单，直接“fixdump ”就可以，生成的文件会直接覆盖源文件。
修复完成后，用UltraEdit或者WinHex之类的十六进制编辑器打开，就可以看到dump文件的数据了。

将数据写入到卡里，现在就是去机器实践的时候了。
破解大完满结束

RFID安全之某学校水卡破解后记——不留后患

近偶然发现一些细节问题，细心的话可能也有人留意到，卡中的数据除了两个值块保存余额之外，还存在其他的数据，虽说学校的热水系统不联网，但要是机器自带日志记录，把我卡记录下来那不就完蛋了？所以此次要斩草除根，免得引来无穷后患。

要掌握规矩，肯定要有多组数据对比，找同学借了两张正常未经修改的水卡进行读卡，结果分别如下。
纳闷的发现除了我的卡之外，其他卡的1扇区都是没有数据的。果断把自己卡的1扇区清空了，拿去饮水机测试，使用一切正常，不知道是哪个这么无聊把数据写进去的，继续研究。
可以发现，所有卡的4扇区的0段开头都有0400，并以C5AE结尾，貌似这是一个校验位，把它清零，拿去饮水机测试，发现是Error，看来这个位的确是校验用的，可以保持一致，重点来分析下5扇区那段数据。
似乎发现了点端倪，除了开头的FA5C 0000 05AC FFFF和对照卡不一样之外，其他数据都相同。接着试试除了这8字节的开头保留，其余清零，在饮水机上测试，一切正常，回来再次读卡的时候又重新生成了一样的数据，可以排除影响。
接着将这8字节开头清零，拿去饮水机消费，发现提示Error，看来的确是一个校验，我们必须保证对数据的敏感，可以看到0000和FFFF，两个值恰好是取反了一次，那FA5C和05A3是不是也一样？FA5C转成二进制是1111101001011100，05A3转成二进制是0000010110100011，结果很清楚，两个值是互相取反保存，那我将它修改成0000和FFFF，其余部分清零，拿去饮水机测试，一切正常。
到此为止，水卡的校验也被破解了，为了保险起见，将水卡的无用数据清零，并用0000和FFFF代替取反的值，痕迹就被清理干净了。

;̷̸̨̀͒̏̃ͦ̈́̾̀́̎͢҉̵̶͚̼͉͖̺̥͔͇̰̹̮͙͉̻̼̭̻͕̮͇ͨͬͪ͗̇̑̽͋̀̋̊͌ͧͨͭ̓̅͐ͥ̂̔̊ͧ͊҉̶̵̷̞̩̦̳̺̳̬̬̩̣̫͇̯̥͖͍͕̠̦̼̗ͯ̽͌̔ͪͯ́́͋̍ͨ̿̿̎͒ͤ̓̅̀͂ͧ͋̏ͫͣ̔͘͜͠͏̶̵̸̸̸̶̸̶̧̧̡̢̡̛̛̥̺͓̘̺͎̜̥͕͈̝̫͎̺̮̱̤̠̠͖̳̻̥̣̪͍͕͇̮͙̹̪͈̼̩̯̪͕̯̫̹̥͔͚͙̦̩͚̭̥͉̰̝̺͍̭̤̹̘̮̪͖͖͉̲̯͕̜̭̙̺̬̘͉̻͍̝̦͖̣̜͖̱͚̞̞̝̝̭̖͕͓͕͇̖̜̭̠͖̼̯̼̠̹͔̲͔̟͕̱̘̹̗͙̪̥̳͓̳͖̞̻͉͈̮̯̲̘̱̱̞̜̖̞̣̱ͮͧͫ͂͒ͤͣ̌̽ͨͪ͒̄̄̉̒̊ͩ̅͆̒̎̇̆͆ͪ̈́͛̉̍̏́̄̈́̽̔̍̎̂ͬ̆͗͌̔ͫ͆̀́͑̈́ͤ́ͯ̇ͧ̾͂̐̋̉̊ͦͥͫͧ͆ͨ̽̒̃͊̒̎͊̇̽̓̒ͬ̐̈́̀́́̍̈́̆̉ͭͪ̾ͭ̈́͛͑̽͐ͬ̈ͧͧ̍̐̑̓ͥ̔̾͐́̎̎͛ͮ͑ͤ̃̉ͦ̍͒ͩ̃̌̎͗̈́̐̉͐͐͌̄̀̓͆̉̌̎͂ͨͩͬ̾̊͋ͪ̎̑̀͘̚͘͘̚͘͘͘̕͟͟͢͟͟͟͜͝͠͞͝͝͝͝͡ͅͅͅͅ͏͏̡̡̛̙̣͉̪̬̗̳̱̤̥̪̮̮̟̥̠͚̼͉̥ͯ̓̂́͐̄̉̇ͣ́ͪ̅̈̃̚͜͟

我会说我是转发的;̷̸̨̀͒̏̃ͦ̈́̾̀́̎͢҉̵̶͚̼͉͖̺̥͔͇̰̹̮͙͉̻̼̭̻͕̮͇ͨͬͪ͗̇̑̽͋̀̋̊͌ͧͨͭ̓̅͐ͥ̂̔̊ͧ͊҉̶̵̷̞̩̦̳̺̳̬̬̩̣̫͇̯̥͖͍͕̠̦̼̗ͯ̽͌̔ͪͯ́́͋̍ͨ̿̿̎͒ͤ̓̅̀͂ͧ͋̏ͫͣ̔͘͜͠͏̶̵̸̸̸̶̸̶̧̧̡̢̡̛̛̥̺͓̘̺͎̜̥͕͈̝̫͎̺̮̱̤̠̠͖̳̻̥̣̪͍͕͇̮͙̹̪͈̼̩̯̪͕̯̫̹̥͔͚͙̦̩͚̭̥͉̰̝̺͍̭̤̹̘̮̪͖͖͉̲̯͕̜̭̙̺̬̘͉̻͍̝̦͖̣̜͖̱͚̞̞̝̝̭̖͕͓͕͇̖̜̭̠͖̼̯̼̠̹͔̲͔̟͕̱̘̹̗͙̪̥̳͓̳͖̞̻͉͈̮̯̲̘̱̱̞̜̖̞̣̱ͮͧͫ͂͒ͤͣ̌̽ͨͪ͒̄̄̉̒̊ͩ̅͆̒̎̇̆͆ͪ̈́͛̉̍̏́̄̈́̽̔̍̎̂ͬ̆͗͌̔ͫ͆̀́͑̈́ͤ́ͯ̇ͧ̾͂̐̋̉̊ͦͥͫͧ͆ͨ̽̒̃͊̒̎͊̇̽̓̒ͬ̐̈́̀́́̍̈́̆̉ͭͪ̾ͭ̈́͛͑̽͐ͬ̈ͧͧ̍̐̑̓ͥ̔̾͐́̎̎͛ͮ͑ͤ̃̉ͦ̍͒ͩ̃̌̎͗̈́̐̉͐͐͌̄̀̓͆̉̌̎͂ͨͩͬ̾̊͋ͪ̎̑̀͘̚͘͘̚͘͘͘̕͟͟͢͟͟͟͜͝͠͞͝͝͝͝͡ͅͅͅͅ͏͏̡̡̛̙̣͉̪̬̗̳̱̤̥̪̮̮̟̥̠͚̼͉̥ͯ̓̂́͐̄̉̇ͣ́ͪ̅̈̃̚͜͟不会的

因为在咱们吧里有好多把卡片还手环手链的、所以分享了这个改数据的、互相学习

小贵啊啊啊啊啊啊啊啊啊啊啊

RFID安全之某学校水卡破解 原帖地址：http://bobylive.com/static/1493
我真的没说这是我的实验，我说了是转帖了，有什么误会希望大家原谅我！

RFID安全之某学校水卡破解 原帖地址：http://bobylive.com/static/1493
我真的没说这是我的实验，我说了是转帖了，有什么误会希望大家原谅我！