RFID实验指导书.docx

1、RFID实验指导书RFID实验指导书适用所有对无线射频传感器感兴趣的学生 #x 编写概 述一、课程目的RFID无线射频实验是一门实践性很强的实验课程，为了学好这门课，每个学生须完成一定的实验实践作业。通过本实验的实践操作训练，可以更好的了解RFID的基本功能和基本的使用方法，为以后深入的研究学习打下良好的基础。本课程实验的目的是旨在使学生进一步扩展对无线射频方向理论知识的了解；培养学生的学习新技术的能力以与提高学生对该方向的兴趣与动手能力。二、实验名称与学时分配序号实 验 名 称学时数实验类型1环境搭建与高低频卡鉴别2验证2破解低频门禁卡信息并作卡片复制2验证3破解高频卡（多方法），读取卡信息

2、2综合三、实验要求1. 问题分析充分地分析和理解问题本身，弄清要求做什么，包括功能要求、性能要求、设计要求和约束。2. 原理理解在按照教程执行过程当中，需要弄清楚每一个步骤为什么这样做，原理是什么。3. 实践测试按照要求执行每一步命令，仔细观察返回值，了解每项返回值表达什么意思，为什么有的卡片可以破解有的不可以。三、实验考核实验报告应包括如下容： 1、实验原理描述：简述进行实验的原理是什么。2、实验的操作过程：包括实验器材、实验流程的描述。3、分析报告：实验过程中遇到的问题以与问题是否有解决方案。如果有，请写明如何解决的；如果没有，请说明已经做过什么尝试，依旧没有结果导致失败。最后简述产生问题

3、的原因。4、实验的体会以与可以讲该功能可以如何在其他地方发挥更强大的功能。注：最后实验结果须附命令行回显截图四、实验时间总学时：6学时。实验一 高低频卡鉴别一、 实验目的1、 掌握RFID驱动等环境安装设置。2、 掌握如何通过读取电压高低来区分高低频。二、 实验要求1、 认真阅读和掌握本实验的程序。2、 实际操作命令程序。3、 保存回显结果，并结合原理进行分析。4、 按照原理最后得出结果。三、 须知：命令在实行时，如果想停止，不能用平时的Ctrl+C或者ESC等常规完毕按键（可能会造成未知损坏），只需要按下Promxmark3上的黑色按钮。方形的为高频天线（Proxmark3 HF Anten

4、na 13.56MHZ）；圆形的为低频天线（Proxmark3 LF Antenna 125KHz/134KHz）四、 实验容1安装驱动打开我的电脑右键-属性设备管理器人体学输入设备这个“HID-compliant device”就是我们的proxmark3设备，选择“USB 人体学输入设备”一般是最下面那个，注意：不是“HID-compliant device”，更新驱动程序。然后选择：Proxmark-Driver-2012-01-15proxmark_driverProxMark-3_RFID_Instrument.inf下一步继续安装完成。安装完成之后在设备管理器里面可以看到proxm

5、ark3的新驱动。2软件使用所需要的软件已经打包好，直接在命令行中运行D: pm3-bin-r486Win32proxmark3.exe这样就算成功安装好各种环境，并可以在该命令窗口中执行命令了。3高低频卡的判别本部分介绍利用高频天线判别卡片的高低频，可自行利用低频天线测试，原理类似。命令：hw tune，这个命令大概需要几秒钟等待回显。当你输入完hw tune之后，窗口所显示的HF antenna后面的数值就是现在非工作状态下的电压，当你把相关的卡放在高频天线上面/下面的时候，电压就会所变化了（依然是非工作状态下）。从图中我们可以看到，当卡没有放到天线的情况下电压为9.22v，而卡放在天线之

6、后电压将为3.9v，现在的电压依然是为非工作电压，但是从这个现象当中我们会得到很多非常有意义的数据。变化出来了！第三hw tune的结果为8.57v，是因为我把一125kHZ的门禁卡放在了高频天线上面，所以其电压的降幅很低，但是如果我把一13.56MHz的卡放在上面就好像第二图片那样子，电压会降低会很多，有时候会是10v左右。从这个变化当中我们就可以初步识别出高频与低频卡的区别了。所以前面测试的那卡是一高频卡。实验二破解低频门禁卡一、 实验目的1 掌握利用低频天线破解门禁卡。二、 实验要求1 认真阅读和掌握本实验的程序。2 上机执行教程命令。3 保存运行结果，并对其原理进行分析理解。三、须知命

7、令在实行时，如果想停止，不能用平时的Ctrl+C或者ESC等常规完毕按键（可能会造成未知损坏），只需要按下Promxmark3上的黑色按钮。方形的为高频天线（Proxmark3 HF Antenna 13.56MHZ）；圆形的为低频天线（Proxmark3 LF Antenna 125KHz/134KHz）安装驱动等环境搭建步骤已由实验一详细阐述，此处略过。四、实验容1、简单了解卡片门禁卡一般为T55x7标签也叫TK4100(EM4100)卡.是属于ID卡。T55x7标签成本.一般市场价格2元-3元不等.(如果批发,还能更便宜.)所以很多地方都用T55x7标签。一般判别标签卡的类型,不可通过卡

8、的外观大小形状来判断。T55x7的参数与应用围：EM4100/4102感应式ID标准卡芯片：EM瑞士微电EM4102Water工作频率：125KHZ感应距离：2-20cm尺寸：ISO标准卡/厚卡/多种异形卡封装材料：PVC、ABS-2、破解卡片由于本次测试卡为低频卡，所以连接的是低频天线（LF）。命令：lfem4xem410xwatch这个命令来获取门禁的Tags。执行完命令以后，则需耐心等待，读取速度不确定，一般30分钟之都算正常时间。过程截图如下所示：这条命令会读取EM410x标签，2000次取样获取ID。大部分门禁卡都将Tags作为识别合法用户的认证标签，所以如果可以获取该Tags标签，

9、则可以复制该门禁卡。（除非个别地方将Tags与UID绑定）最后一行“EM410x Tag ID:#”，这个则是获取的该卡Tags。注意：读取Tags的时候,门禁卡要放在低频天线上方，且需要电压稳定，不是每一次都可以成功获取的，需要多尝试几次。3、复制门禁卡获取到Tags以后，我们就可以拿一同样类型的空白卡进行复制。步骤：先将白卡放在低频天线上，然后执行命令。命令：leem410xwriteTagID1注：TagID为上一步获取的Tags序号；命令最后的1表示t55x7标签；前面的l是lf低频卡命令的缩写；第2个e是参数em4x的缩写。写完后,我们再用命令：lfem4xem410xwatch来查

10、看,我们是否写进去了。在对新复制好的卡执行完命令后，如果最后获取到的Tags值与先前的一样，或者将新卡拿到门禁系统上可以测试通过，则说明T55x7门禁卡复制成功，否则需要重新执行复制的步骤。实验三 破解高频卡（多方法）一、实验目的掌握利用高频天线破解MIFARE Classic高频卡的方法与过程。了解MIFARE Classic卡的漏洞与不安全性。二、实验要求1 认真阅读和掌握本实验的算法。2 按照教程执行命令，尽可能实现效果。 3 保存运行结果，并结合原理进行分析。三、须知命令在实行时，如果想停止，不能用平时的Ctrl+C或者ESC等常规完毕按键（可能会造成未知损坏），只需要按下Promxm

11、ark3上的黑色按钮。方形的为高频天线（Proxmark3 HF Antenna 13.56MHZ）；圆形的为低频天线（Proxmark3 LF Antenna 125KHz/134KHz）安装驱动等环境搭建步骤已由实验一详细阐述，此处略过。三、实验容1、基于key的卡片破解通过简单的电压测试（如实验一），可以得出我们要测试的MIFARE Classic卡是高频卡。放卡前：放卡后：当确定需要测试的卡为13.56MHz卡之后，就开始需要深入的了解这卡的信息了。我们可以从hf命令集当中找到相关的命令（见附录）。命令：hf 14a reader这样我们就可以获取到该卡的UID。RATS是Reques

12、t for answer to select（选择应答请求），原因是有时候Proxmark3在读取部分MIFARE Classic卡UID的信息时，因为无法得到RATS的返回信息，会判断为非ISO14443a标准的卡.国有太多MIFARE Classic类的卡，并不是NXP出产的，所以Proxmark3就会出现了这样子的提示！从图中的信息我们可以看到的是现在读取的卡ATQA为04 00。通常ATQA为04 00数值的卡，大部分都是MIFARE Classic或者是CPU兼容模式下的MIFARE Classic。当我们可以确定卡类型之后就可以针对其特性进行相关的安全测试了，通常当我们拿到相关的卡

13、的时候，我们应该先用chk命令去检测一下测试卡是否存在出厂时遗留的默认Key，默认的Key A/Key B是使得MIFARE Classic系列安全问题雪上加霜的主要成因，因为使用默认的Key导致恶意用户可以使用其进行卡的信息读取以与修改。（常用默认key见附录）命令：hf mf chk 0 A a0a1a2a3a4a5含义：检查0区key A是否为a0a1a2a3a4a5当回显为 isOk:01 valid key:a0a1a2a3a4a5就说明存在这个默认key，我们就可以利用这个默认Key进行区块的读取以与更进一步的操作了。如果尝试多种默认key均不存在的话，可以用如下方法。命令：hf

14、mf mifare当输入命令以后，窗口会显示类似进度状态的“.”，这个过程有时候快有时候慢，需要耐心等待。这样便可获得其中一个Nt的值为524bb6a2。命令：hf mf mifare 524bb6a2当输入命令后，窗口将再一次进入进度状态，须耐心等待，如果想停止，请按黑色按钮。因为基于PRNG的漏洞进行的破解，所以有时候会出现多次Nt的循环，这是很正常的结果，我们需要不断的利用Nt去进行真正Key的破解。整个过程是漫长而乏味的，所以我们才需要借用默认Key的检测来减少安全测试的耗时。（关于PRNG漏洞的介绍请自行上网查询）最后结果为Found valid key后面的值。这样我们就对这卡PR

15、NG破解成功，获取到了key以后就可以对整卡进行破解测试了。这个操作的过程比较短暂，而且前提条件是必须存在一个正确的Key进行操作，否者就无法继续进行。基本上MIFARE Classic的安全测试就已经完成了，而基于一些全加密或者CPU兼容模式MIFARE Classic（Cryto-1算法）的卡，我们还可以使用嗅探的测试去进行测试。前提是要记住嗅探模式是需要在正常交互模式下进行的。2、基于交互模式下的卡片破解1、正常连接Proxmark3到电脑，进入Proxmark3交互终端。2、在终端输入命令命令：hf 14a snoop3、然后将卡片放在天线上，多次读取。4、当读取完成后等待大约5秒，按

16、下板子上的黑色按钮。（短按，按一下OK了。）此时板子上的LED灯都灭掉。5、回到命令终端输入命令。命令：hf mf list如果读取成功，则可以看见如以下图显示然后再利用第三方软件即可算出key值来。（演示软件为crapto1gui1.01）如果读取失败，则输入命令以后无数据附录1常见默认key：000000000000b0b1b2b3b4b54d3a99c351dd1a982c7e459aaabbccddeeff714c5c886e97587ee5f9350fa0478cc39091533cb6c723f68fd0a4f256e9a64598a7747826940b21ff5dfc00018

17、778f700000ffe24885c598c9c58b5e4d2770a89be434f4d4d4f41434f4d4d4f4247524f55504147524f555042505249564141505249564142fc00018778f700000ffe24880297927c0f77ee0042f88840722bfcc5375ff1d83f96431454726176656C7769746875734AF9D7ADEBE42BA9621E0A36fc00018778f700000ffe24880297927c0f77ee0042f8884054726176656c7769746

18、87573000000000001a0a1a2a3a4a5123456789abcb127c6f4143612f2ee3478c134d1df9934c555f5a5dd38c9f1a97341a9fc33f974b4276914d446e33363c934fe34d934附录2部分常用命令与注解：Help主帮助命令help显示帮助data图形窗口/缓冲区数据操作等等exit退出Proxmark3的终端环境hf高频相关命令hw硬件检测相关命令lf低频相关命令quit退出Proxmark3的终端环境等同exithw硬件相关检测命令help显示帮助detectreaderl/h -检测外部读卡器频

19、率区域（选项“l”或“h”限制到低频LF或高频HF）fpgaoff设置FPGA为关闭lcd - 发送命令/数据到LCDlcdreset重置LCDreadmem从芯片中读取10进制地址的存贮器reset重置Proxmark3setlfdivisor - 在12Mhz/(基数+1)驱动LF天线setmux - 设置ADC多路复用器为一个特定的值tune测量天线的调谐version显示Proxmark3的固件版本信息lf低频相关命令help显示帮助cmdread h - 在读取之前发送命令来调整LF读卡器周期（以微妙为单位）（h选项为134）em4xEM4X卡类相关命令flexdemod解调Flex

20、Pass样本hidHID卡类相关命令indalademod224 -解调Indala样本的64位UID（选项224是224位）indalacloneUID l- 克隆Indala到T55x7卡 (标签必须在天线上)(UID为16进制)(选项l表示224位UID)readh - 读取125/134 kHz的低频ID标签(选项h是134)simGAP - 从可选GAP的缓冲区模拟低频标签(以微秒为单位)simbidir模拟低频标签（在读卡器和标签之间双向传输数据）simman GAP 模拟任意曼彻斯特低频标签tiTI卡类相关命令hitagHitag标签与应答相关vchdemodclone - 解调

21、VeriChip公司样本t55#T55#卡类相关命令PCF7931PCF7931卡类相关命令Lf em4x（EM4X类卡相关命令）help显示帮助em410xread时钟速率 - 提取EM410x标签的IDem410xsim - 模拟EM410x标签em410xwatch读取EM410x标签，2000次取样获取IDem410xwrite -把EM410x UID写入T5555(Q5)或T55x7标签em4x50read从EM4x50标签中读取数据readword-读取EM4#x字符数据readwordPWD-在密码模式下读取EM4#x字符数据writeword-写入EM4#x字符数据write

22、wordPWD-在密码模式下写入EM4#x字符数据Hf高频相关命令help显示帮助14aISO14443A卡的相关命令14bISO14443B卡的相关命令15ISO15693卡的相关命令epa德国的相关命令legicLEGIC卡的相关命令iclassICLASS卡的相关命令mfMIFARE卡的相关命令tune连续测量高频天线的调谐Hf 14a相关命令help显示帮助list列出窃听到的ISO14443A类卡与读卡器的通信历史记录reader读取ISO14443A类卡的UID等数据cuids收集指定数目的随机UID，显示开始和完毕时间sim - 模拟ISO14443A类标签snoop窃听ISO1

23、4443A类卡与读卡器的通信数据raw使用RAW格式命令发送指令到标签Hf mf（MIFARE卡的相关命令）help显示帮助dbg设置默认调试模式rdbl读取MIFARE classic卡的区块数据rdsc读取MIFARE classic卡的扇区数据dump导出MIFARE classic卡的数据到二进制文件restore从二进制文件恢复数据到空白的MIFARE classic卡wrbl改写MIFARE classic卡的区块数据chk测试MIFARE classic卡的各个区块KEY A/Bmifare基于PRNG漏洞，执行mifare “DarkSide”攻击操作nested测试嵌套认证漏

24、洞，基于一个已知Key，获取都有扇区Keyssniff嗅卡片与读写器之间的通讯(等同于hf 14a snoop)sim模拟一个MIFARE卡片eclr清除仿真存的各区块数据eget获取仿真存的各区块数据eset设置仿真存的各区块数据eload从导出的文件加载仿真数据esave导出保存仿真数据到文件ecfill利用仿真器的keys来填补仿真存ekeyprn打印输出仿真存中的keyscsetuid直接设置可改UID卡的UIDcsetblk把对应区块数据写入UID卡cgetblk读取UID卡对应区块数据cgetsc读取UID卡对应扇区数据cload写入dump数据到UID卡csave保存UID卡数据到文件或者仿真存Hf 14b相关命令help显示帮助demod调制ISO14443B协议的标签list列出窃听到的ISO14443B类卡与读卡器通信历史记录read读取ISO14443B类卡的信息sim模拟ISO14443B类标签simlisten从高频样本中模拟ISO14443B类标签snoop监听ISO14443B类卡与读卡器之间的通信数据sri512read - 读取SRI512标签的容srix4kread - 读取SRIX4K标签的容raw使用RAW格式命令发送指令到标签