Know your magic cards

Geschichte der magischen Karten

Am Anfang gab es die MIFARE CLASSIC® 1K Karte.
Im Vergleich zu den 125KHz-Tags der damaligen Zeit, die einfach nur eine Datenfolge ausgaben, war die MIFARE CLASSIC® 1K eine fortschrittliche Karte.

Jede einzelne Karte hatte eine individuelle Eindeutige ID. Diese UID-Blöcke wurden zwischen den Herstellern verwaltet, um sicherzustellen, dass niemals zwei Karten dieselbe UID hatten.

Die MIFARE CLASSIC® 1K verfügte auch über eine Vielzahl von Datensektoren, Zugriffskontrolllisten und Schlüsseln.

Als die MIFARE CLASSIC® 1K immer beliebter wurde, begannen viele Unternehmen und Zutrittskontrolllösungen, die UID als Sicherheitsmerkmal zu verwenden - sie verließen sich auf die UID zur Authentifizierung von Karten, Benutzern, Käufen und mehr.

Das Verschlüsselungssystem der MIFARE CLASSIC® 1K, kombiniert mit einem schlechten Pseudo-Zufallszahlengenerator (PRNG), wurde geknackt - was nun bedeutete, dass Karten geknackt und gedumpt werden konnten.

Etwa zur gleichen Zeit begannen chinesische Unternehmen, insbesondere FUDAN, "kompatible" Chipsätze zu erstellen - und einige dieser Chipsätze entwickelten spezielle, sogar... magische... Fähigkeiten - einschließlich der Fälschung der heiligen UID.

Die ursprünglichen Generationen von MIFARE CLASSIC® kompatiblen / magischen Chips erforderten eine spezielle Sequenz zum "Entsperren" des Badges. Einmal entsperrt - konnte die gesamte Karte, einschließlich der UID- und ACL-Abschnitte, gelesen und beschrieben werden.

Der Entsperrcode, 0x43 / 0x40, wurde so bekannt - dass viele Kartenlesersysteme diesen Code bei allen Badges abfragten. Wenn ein Tag antwortete - wurde er als Klonkarte betrachtet und abgelehnt.

Als Reaktion darauf entwickelten "magische" Karten andere Fähigkeiten - einige erlaubten "Direktes Schreiben" überall auf der Karte, ohne Entsperrcodes - und andere erlaubten es, die UID nur einmal zu ändern.

Mit jeder Iteration wurden die Chipsätze auch immer stabiler und konnten auch immer mehr Badge-Typen emulieren.

Heute - die modernsten "magischen" Karten können einiges an Benutzermissbrauch aushalten (falsche Werte schreiben, Herstellersektoren beschädigen usw.) - sollten aber im Allgemeinen mit Vorsicht behandelt werden - um sie nicht zu "bricken".

Kürzlich wurde die "Ultimate Magic Card" veröffentlicht. Auch bekannt als "Gen 4", ist diese Karte ein hochkonfigurierbarer 13,56MHz-Kartenemulator.

Sie kann nativ NTAG / MIFARE / Ultralight-Tags (und alle ihre Variationen) emulieren, unterstützt die vollständige Kontrolle über ATQA/SAK/ATS-Werte, UID und UID-Länge (4, 7 und 10 Byte) und verfügt über erweiterte Funktionen einschließlich Wiederherstellungsmodus, Schattenmodus und automatischer BCC-Berechnung.

↑ Zurück nach oben

Spickzettel für gängige magische Karten

Obwohl es mittlerweile buchstäblich Hunderte von Arten magischer Karten in freier Wildbahn gibt, sind die folgenden magischen Karten für Klonzwecke die am häufigsten verfügbaren, am besten unterstützten und kompatibelsten verfügbaren Karten/Chipsätze.

MIFARE Classic magische Karten

Erweiterte magische Karten

↑ Zurück nach oben

Niederfrequenz-Karten

T55xx

Der temic T55xx/Atmel ATA5577 ist der am häufigsten verwendete Chip zum Klonen von LF-RFIDs.

Eigenschaften

• 28/24 Bytes Benutzerspeicher (ohne/mit Passwort)
• Universelle Ausgangseinstellungen (Datenrate, Modulation usw.)
• Passwortschutz (4 Bytes), normalerweise "19920427"
• Sperrbits pro Seite
• Analoges Frontend-Setup
• Andere Namen:
  • 5577
  • 5200 (CN) - Reduzierte Version des T55xx-Chips
  • H2 (RU) - Scheint ein umbenannter 5200-Chip zu sein
  • RW125T5 (RU)

Erkennen

[usb] pm3 --> lf search
...
[+] Chipsatz-Erkennung: T55xx

↑ Zurück nach oben

EM4x05

Die EM4305- und EM4205-Chips (und 4469/4569) sind die zweithäufigsten Chips zum Klonen von LF-RFIDs. Sie werden auch von HID Global (aber mit einem benutzerdefinierten Chip) für HIDProx-Anmeldeinformationen verwendet.

Eigenschaften

• 36 Bytes Benutzerspeicher
• Ausgangseinstellungen sind begrenzt (nur ASK, FSK bei HID-Variante hinzugefügt)
• Passwortschutz (4 Bytes), normalerweise "84AC15E2"
• Sperrseite verwendet
• Andere Namen:
  • H3 (RU)
  • RW125EM (RU)

Erkennen

[usb] pm3 --> lf search
...
[+] Chipsatz-Erkennung: EM4x05 / EM4x69

↑ Zurück nach oben

ID82xx Serie

Dies sind benutzerdefinierte chinesische Chips, die hauptsächlich zum Klonen von EM-IDs verwendet werden. Oft sind dies neu gestaltete Klone von Hitag-Chips.

ID8265

Dies ist der billigste und häufigste verfügbare ID82xx-Chip. Er wird normalerweise als T55xx auf AliExpress verkauft, mit Ausreden zur Verwendung von Klonern.

Eigenschaften:

• Chip ist wahrscheinlich eine reduzierte Version des Hitag µ (micro) Klons
• UID 00 00 00 00 00 00
• Passwortschutz (4b), normalerweise "00000000"(Standard) oder "9AC4999C"(FURUI)
• Konfigurationsblock 0xFF
• Derzeit nicht im proxmark3-Client implementiert
• Andere Namen: ID8210 (CN), H-125 (CN), H5 (RU)

ID8211

Dies ist eine "verbesserte" Variante der ID82xx-Chips, die einige magische Erkennungen in China umgeht.

Eigenschaften:

• Chip ist wahrscheinlich eine reduzierte Version des Hitag S2048 Klons
• Kein Passwortschutz
• Seite 1 vollständig änderbar, Standard: CA 24 00 00
• Seiten 41-43 enthalten unbekannte schreibgeschützte Daten
• Seiten 44-63 schreibgeschützt auf 00 00 00 00

ID-F8268

Dies ist eine "verbesserte" Variante der ID82xx-Chips, die einige magische Erkennungen in China umgeht.

Eigenschaften:

• Chip ist wahrscheinlich eine reduzierte Version des Hitag S2048 Klons
• Passwortschutz (4b), normalerweise "BBDD3399"(Standard) oder "AAAAAAAA"
• Seite 1 vollständig änderbar, Standard: DA A4 00 00
• Andere Namen: F8278 (CN), F8310 (CN), K8678 hergestellt von Hyctec

↑ Zurück nach oben

H Serie

Dies sind in Russland verkaufte Chips, hergestellt von iKey LLC. Oft sind diese kundenspezifisch.

H1

Einfachster verfügbarer EM-ID-Klonchip. Offiziell eingestellt.

Eigenschaften:

• Derzeit ist fast die gesamte Struktur unbekannt
• Keine Sperrung oder Passwortschutz
• "OTP"-Chip ist derselbe Chip, aber mit EM-ID aus Nullen. Nach dem ersten Schreiben gesperrt
• Andere Namen: RW64bit, RW125FL

H5.5 / H7

Erster "fortgeschrittener" kundenspezifischer Chip mit H-Benennung.

Eigenschaften:

• Derzeit ist die gesamte Struktur unbekannt
• Kein Passwortschutz
• Nur von russischen "TMD"/"RFD"-Klonern unterstützt
• H7 wird für die Arbeit mit "Stroymaster"-Zutrittskontrolle beworben
• Das Setzen der ID auf "3F0096F87E" lässt den Chip wie T55xx erscheinen

↑ Zurück nach oben

ISO14443A Karten

Identifizierung defekter ISO14443A magischer Karten

Wenn die Konfiguration einer magischen Karte wirklich durcheinander ist und die Karte nicht beschriftet ist, kann es schwierig sein herauszufinden, um welchen Kartentyp es sich handelt.

Hier sind einige Tipps, wenn die Karte nicht reagiert oder bei einem einfachen hf 14a reader einen Fehler ausgibt:

Erzwingen wir eine 4b UID-Antikollision und sehen, was passiert:

hf 14a config --atqa force --bcc ignore --cl2 skip --rats skip
hf 14a reader

Wenn sie antwortet, wissen wir, dass es eine TypeA-Karte ist. Aber vielleicht ist es eine 7b UID, also erzwingen wir eine 7b UID-Antikollision:

hf 14a config --atqa force --bcc ignore --cl2 force --cl3 skip --rats skip
hf 14a reader

An diesem Punkt wissen Sie, ob es sich um eine TypeA 4b- oder 7b-Karte handelt, und Sie können weiter auf dieser Seite nachsehen, wie verschiedene Kartentypen neu konfiguriert werden.

Um die Antikollisionskonfiguration des Proxmark3 wiederherzustellen:

hf 14a config --std

↑ Zurück nach oben

MIFARE Classic

Bezeichnet als M1, S50 (1k), S70 (4k)

MIFARE Classic Block 0

UID 4b: (eigentlich NUID, da es keine "eindeutigen" IDs mehr bei 4b gibt)

11223344440804006263646566676869
^^^^^^^^                         UID
        ^^                       BCC
          ^^                     SAK(*)
            ^^^^                 ATQA
                ^^^^^^^^^^^^^^^^ Herstellerdaten

(*) einige Karten haben ein anderes SAK in ihrer Antikollision und in Block0: +0x80 in Block0 (z.B. 08->88, 18->98)

BCC-Berechnung für UID 11223344: analyse lrc -d 11223344 = bf

UID 7b:

04112233445566884400c82000000000
^^                               Herstellerbyte
^^^^^^^^^^^^^^                   UID
              ^^                 SAK(*)
                ^^^^             ATQA
                    ^^^^^^^^^^^^ Herstellerdaten

(*) alle? Karten haben ein anderes SAK in ihrer Antikollision und in Block0: +0x80 in Block0 (z.B. 08->88, 18->98)

↑ Zurück nach oben

MIFARE Classic Gen1A (auch bekannt als UID)

Andere Namen: ZERO (RU)

Identifizieren

hf mf info
...
[+] Magische Fähigkeiten... Gen 1a

Magische Befehle

• Löschen: 40(7), 41 (2000ms Timeout verwenden)
• Lesen: 40(7), 43, 30xx+crc
• Schreiben: 40(7), 43, A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

Eigenschaften

• UID: Nur 4b-Versionen
• ATQA: alle Karten spielen blind die Block0 ATQA-Bytes ab, Vorsicht!
• SAK: Verhalten variiert je nach Variante
• BCC: alle Karten spielen blind das Block0 BCC-Byte ab, Vorsicht!
• ATS: keine Karte mit ATS

Varianten

Variante	SAK	PRNG	Löschen
1	Spielt blind Block0 SAK ab	statisch 01200145	gefüllt mit 0xFF
2	Spielt blind Block0 SAK ab	statisch 01200145	gefüllt mit 0x00
3	08	statisch 01200145	gefüllt mit 0xFF
4	08	schwach	Timeout, kein Löschen
5	08	schwach	antwortet ok aber kein Löschen
6	08 oder 88 wenn Block0_SAK MSB gesetzt	schwach	Timeout, kein Löschen
7	08 oder 88 wenn Block0_SAK MSB gesetzt	schwach	gefüllt mit 0x00

Proxmark3 Befehle

hf mf csetuid
hf mf cwipe
hf mf csetblk
hf mf cgetblk
hf mf cgetsc
hf mf cload
hf mf csave
hf mf cview

Wenn "soft-gebrickt" (durch Schreiben ungültiger Daten in Block0), können diese helfen:

# MFC Gen1A 1k:
hf mf cwipe -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k:
hf mf cwipe -u 11223344 -a 0044 -s 18

oder nur Block0 reparieren:

# MFC Gen1A 1k:
hf mf csetuid -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k:
hf mf csetuid -u 11223344 -a 0044 -s 18

↑ Zurück nach oben

MIFARE Classic Gen1B

Ähnlich wie Gen1A, unterstützt aber direktes Lesen/Schreiben nach Befehl 40

Identifizieren

hf mf info
...
[+] Magische Fähigkeiten... Gen 1b

Magische Befehle

• Lesen: 40(7), 30xx
• Schreiben: 40(7), A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

↑ Zurück nach oben

MIFARE Classic DirectWrite (Gen2 / CUID)

Von einigen Verkäufern auch als MCT-kompatibel bezeichnet

Andere Namen: MF-8 (RU), MF-3 (RU), MF-3.2 (RU)

Identifizieren

hf mf info
...
[+] Magische Fähigkeiten... Gen 2 / CUID

Magische Befehle

Android (MTools) kompatibel - reguläres Schreiben auf Block0 ausgeben

Eigenschaften

• UID: 4b und 7b Versionen
• ATQA: einige Karten spielen blind die Block0 ATQA-Bytes ab, einige verwenden festes ATQA
• SAK: einige Karten spielen blind das Block0 SAK-Byte ab, einige verwenden festes SAK
• BCC: einige Karten spielen blind das Block0 BCC-Byte ab, einige berechnen korrektes BCC
• ATS: einige Karten antworten nicht auf RATS, einige antworten mit einem ATS

Proxmark3 Befehle

hf mf wrbl --blk 0 -k FFFFFFFFFFFF -d 11223344440804006263646566676869 --force

hf mf wipe --gen2

Wenn "soft-gebrickt", verwenden Sie hf 14a config um ATQA/BCC-Einstellungen zu erzwingen.

↑ Zurück nach oben

MIFARE Classic Gen3 (APDU)

Identifizieren

hf mf info
...
[+] Magische Fähigkeiten... Gen 3 / APDU ( möglicherweise )

Magische Befehle

Android (MTools) kompatibel - spezielle APDUs ausgeben

cla  ins p1  p2  len
 90  F0  CC  CC  10 <block0>  - Block 0 schreiben
 90  FB  CC  CC  07 <uid>     - UID ändern (unabhängig von Block0-Daten)
 90  FD  11  11  00           - dauerhaft sperren

Eigenschaften

• UID: 4b und 7b Versionen
• ATQA/SAK: fest
• BCC: auto
• ATS: keine

Proxmark3 Befehle

# nur UID ändern:
hf mf gen3uid
# Block0 schreiben:
hf mf gen3blk
# (uid/block0?) für immer sperren:
hf mf gen3freeze

↑ Zurück nach oben

MIFARE Classic QL88

Tags, die für die Verwendung mit dem "CopyKey X5" Klongerät entwickelt wurden. Diese Karten implementieren benutzerdefinierte Funktionen als eine Form von rudimentärem DRM (Digital Rights Management), um zu verhindern, dass der CopyKey mit anderen leeren Tags funktioniert. Hergestellt von QinLin neighbor technology, sind diese Karten nach ihrem charakteristischen SAK-Wert von 88 in Block 0 benannt.

Identifizieren

hf mf info
...
[=] --- PRNG-Informationen
[+] Prng................. hart

Eigenschaften

• UID: 4b Versionen
• ATQA/SAK: SAK-Wert von 88 in Block 0 gespeichert (nicht während Antikollision verwendet)
• BCC: berechnet
• ATS: keine
• PRNG: hart
• Signatur: Enthält Signaturdaten in Sektor 17
• Benutzerdefinierte Schlüssel: Sektor 17 verwendet benutzerdefinierten Schlüssel A (0x2612C6DE84CA) und Schlüssel B (0x707B11FC1481)
• Herstellerdaten: Block 0 enthält immer 88980020 000000F8
• Sektor 16: Vollständig vom Benutzer beschreibbar

Proxmark3 Befehle

# Sektor 17 mit benutzerdefinierten Schlüsseln lesen:
hf mf rdsc --sec 17 -a 2612C6DE84CA -b 707B11FC1481

# Herstellerdaten in Block 0 überprüfen:
hf mf rdbl --blk 0 -k FFFFFFFFFFFF

↑ Zurück nach oben

MIFARE Classic HUID

Eine Variation des QL88-Tags, die anscheinend eine benutzerdefinierte Schlüsselableitungsfunktion (KDF) für die Schlüsselgenerierung verwendet. Trotz des benutzerdefinierten Schlüsselmechanismus bleiben die zugrunde liegende Struktur und das Verhalten ähnlich wie bei QL88-Karten. Die Analyse deutet darauf hin, dass es sich im Wesentlichen um CUID-Tags mit angewendeten benutzerdefinierten Schlüsseln handelt.

Eigenschaften

• UID: 4b Versionen
• Schlüsselgenerierung: Verwendet benutzerdefinierte KDF (Schlüsselableitungsfunktion)
• Basistyp: Scheint CUID-Tag mit benutzerdefinierten Schlüsseln zu sein
• Kompatibilität: Gleiche Schlüsselstruktur wie QL88

↑ Zurück nach oben

MIFARE Classic USCUID

Diese magischen Karten haben eine 16 Byte lange Konfigurationsseite, die normalerweise mit 0x85 beginnt. Alle bekannten Tags, die diese Konfiguration verwenden, sind hier aufgelistet.

Eigenschaften

• UID: 4/7 Bytes
• ATQA: immer aus Block 0 gelesen
• SAK: aus Backdoor oder Konfiguration gelesen
• BCC: aus dem Speicher gelesen, Vorsicht!
• ATS: nein/unbekannt

Identifizieren

hf mf info
...
[+] Magische Fähigkeiten... Gen 4 GDM / USCUID ( Magic Auth/Gen1 Magic Wakeup/Alt Magic Wakeup )

Magische Befehle

• Magische Authentifizierung: auswählen, 8000+crc, [Crypto1 Auth: 000000000000]
• Magisches Aufwecken (A: 00): 40(7), 43
• Magisches Aufwecken (B: 85): 20(7), 23
• Backdoor-Lesen: 38xx+crc
• Backdoor-Schreiben: A8xx+crc, [16 Bytes Daten]+crc
• Konfiguration lesen: E000+crc
• Konfiguration schreiben: E100+crc, [16 Bytes Daten]+crc

USCUID Konfigurationsanleitung

Konfigurationsformat:

85000000000000000000000000000008
      ^^^^^^    ^^          ^^   >> ??? Geheimnis ???
^^^^                             >> Gen1a-Modus (funktioniert mit Bitflip)
    ^^                           >> Magischer Aufweckbefehl (00 für 40-43; 85 für 20-23)
            ^^                   >> Blockiere Verwendung von Schlüssel B wenn durch ACL lesbar
              ^^                 >> CUID-Modus
                  ^^             >> MFC EV1 CL2 Perso-Konfiguration
                    ^^           >> Schattenmodus
                      ^^         >> Magic Auth-Befehl
                        ^^       >> Statischer verschlüsselter Nonce-Modus
                          ^^     >> Signatursektor
                              ^^ >> SAK

Um eine Option zu aktivieren, setzen Sie sie auf 5A.

Proxmark3 Befehle

# Konfigurationsblock von Karte lesen
hf mf gdmcfg

# Konfigurationsblock auf Karte schreiben
hf mf gdmsetcfg

# Konfigurationsblock auf Karte parsen
hf mf gdmparsecfg

# Block auf Karte schreiben
hf mf gdmsetblk

Bekannte Variationen

Werkskonfiguration	Name
850000000000000000005A5A00000008	GDM
850000000000005A00FF005A00000008	GDCUID
850000000000005A0000005A5A5A0008	UCUID
8500000000005A00005A005A005A0008	"7 Byte hart"
7AFF850102015A00005A005A005A0008	M1-7B
7AFF85000000000000FF000000000008	FUID
7AFF000000000000BAFA358500000008*	PFUID
7AFF000000000000BAFA000000000008	UFUID
7AFF0000000000000000000000000008	ZUID

*Nicht alle Tags sind gleich! UFUID, ZUID und PFUID sind keine vollständigen Implementierungen von USCUID.

↑ Zurück nach oben

MIFARE Classic Super

Verhält sich wie normale Mifare Classic, zeichnet aber Leser-Authentifizierungsversuche auf.

MIFARE Classic Super Gen1

Alter Kartentyp, schwer zu bekommen. Sie sind DirectWrite, UID kann über Block 0 oder Backdoor-Befehle geändert werden.

• UID: 4b Version
• ATQA/SAK: fest
• BCC: auto
• ATS: fest, 0978009102DABC1910F005

ATQA/SAK entspricht 1k-Karte, funktioniert aber als 4k-Karte.

MIFARE Classic Super Gen2

Neue Generation von Karten, basierend auf begrenztem Gen4-Chip. Emuliert Gen1-Backdoor-Protokoll, kann aber bis zu 7 verschiedene Traces speichern.

Karte antwortet immer ff ff ff ff als at, daher ist Lesen/Schreiben über Mifare-Protokoll unmöglich.

• UID: 4b und 7b Versionen
• ATQA/SAK: fest
• BCC: auto
• ATS: änderbar, Standard wie Gen1

Identifizieren

hf mf info
...
[+] Magische Fähigkeiten... Super card ( Gen ? )

Proxmark3 Befehle

hf mf supercard

↑ Zurück nach oben

MIFARE Ultralight

MIFARE Ultralight Blöcke 0..2

SN0  SN1  SN2  BCC0
SN3  SN4  SN5  SN6
BCC1 Int  LCK0 LCK1

UID besteht aus SN0..SN6 Bytes

BCC0-Berechnung für UID 04112233445566: analyse lrc -d 88041122 = bf

BCC1-Berechnung für UID 04112233445566: analyse lrc -d 33445566 = 44

Int ist intern, typischerweise 0x48

Anticol-Abkürzung (CL1/3000) wird für UL, ULC, NTAG außer NTAG I2C unterstützt

↑ Zurück nach oben

MIFARE Ultralight Gen1A

Proxmark3 Befehle

script run hf_mfu_setuid -h

Wenn "soft-gebrickt" (durch Schreiben ungültiger Daten in Block0), können diese helfen:

hf 14a config -h
script run hf_mf_magicrevive -u

↑ Zurück nach oben

MIFARE Ultralight DirectWrite

Identifizieren

hf 14a info
...
[+] Magische Fähigkeiten : Gen 2 / CUID

Es scheint bisher, dass alle MFUL DW eine ATS-Antwort in der Werkskonfiguration haben.

Magische Befehle

Geben Sie drei reguläre MFU-Schreibbefehle hintereinander aus, um die ersten drei Blöcke zu schreiben.

Eigenschaften

• UID: Nur 7b Versionen
• ATQA: alle Karten spielen festes ATQA ab
• SAK: alle Karten spielen festes SAK ab
• BCC: einige Karten spielen blind die Block0 BCC0 und Block2 BCC1 Bytes ab, einige berechnen korrektes BCC
• ATS: alle Karten antworten mit einem ATS

Proxmark3 Befehle

hf mfu setuid -h

Äquivalent: verwenden Sie nicht hf mfu wrbl, da Sie drei Blöcke hintereinander schreiben müssen, aber tun Sie es mit korrektem BCCx:

hf 14a raw -s -c -k a2 00 041122bf
hf 14a raw    -c -k a2 01 33445566
hf 14a raw    -c    a2 02 44480000

libnfc Befehle

nfc-mfultralight -h

Siehe --uid und --full

Android (MTools)

MIFARE++ Ultralight

↑ Zurück nach oben

MIFARE Ultralight EV1 DirectWrite

Ähnlich wie MFUL DirectWrite

Identifizieren

hf 14a info
...
[+] Magische Fähigkeiten : Gen 2 / CUID

Eigenschaften

• UID: Nur 7b Versionen
• ATQA: alle Karten spielen festes ATQA ab
• SAK: alle Karten spielen festes SAK ab
• BCC: Karten spielen blind die Block0 BCC0 und Block2 BCC1 Bytes ab, Vorsicht!
• ATS: alle Karten antworten mit einem ATS

↑ Zurück nach oben

MIFARE Ultralight C Gen1A

Ähnlich wie MFUL Gen1A

↑ Zurück nach oben

MIFARE Ultralight C DirectWrite

Ähnlich wie MFUL DirectWrite

Identifizieren

hf 14a info
...
[+] Magische Fähigkeiten : Gen 2 / CUID

Eigenschaften

• UID: Nur 7b Versionen
• ATQA: alle Karten spielen festes ATQA ab
• SAK: alle Karten spielen festes SAK ab
• BCC: Karten berechnen korrektes BCC0 und BCC1 in Antikollision
• ATS: alle Karten antworten mit einem ATS

↑ Zurück nach oben

MIFARE Ultralight USCUID-UL

Diese magischen Karten haben wie die MFC USCUIDs eine 16 Byte lange Konfigurationsseite, bestehend aus 4 Blöcken zu je 4 Bytes. Diese beginnt normalerweise mit 0x85.

Eigenschaften

• UID: 7 Bytes
• ATQA: immer aus verstecktem Block F6 gelesen
• SAK: immer aus verstecktem Block F6 gelesen
• BCC: aus Blöcken 0-1 gemäß Ultralight-Spezifikation gelesen
• ATS: Diese antworten auf eine ATS-Anfrage mit der Konfigurationsseite im Werksmodus

Identifizieren

Im Werkskonfigurationszustand:

hf 14a info
...
[=] -------------------------- ATS --------------------------
[!] ATS könnte beschädigt sein. Länge des ATS (18 Bytes inkl. 2 Bytes CRC) stimmt nicht mit TL überein
[+] ATS: 85 00 85 A0 00 00 0A A5 00 04 04 02 01 00 0F 03 [ 07 00 ]

Magische Befehle

• Magisches Aufwecken (A: 00): 40(7), 43
• Magisches Aufwecken (B: 85): 20(7), 23
• Backdoor-Lesen Haupt- und versteckter Block: 30xx+crc
• Backdoor-Schreiben Haupt- und versteckter Block: A2xx[4 Bytes Daten]+crc
• Konfiguration lesen: E050+crc
• Konfiguration schreiben: E2[offset*4, 1b][Daten, 4b]+crc

Bekannte Variationen

Werkskonfiguration	Name
850000A0 00000AC3 00040301 01000B03	UL-11
850000A0 00000A3C 00040301 01000E03	UL-21
850000A0 0A000A00 00000000 00000000	UL-C
850085A0 00000AA5 00040402 01000F03	NTAG213
850000A0 00000A5A 00040402 01001103	NTAG215
850000A0 00000AAA 00040402 01001303	NTAG216

↑ Zurück nach oben

NTAG

NTAG213 DirectWrite

Ähnlich wie MFUL DirectWrite

Identifizieren

hf 14a info
...
[+] Magische Fähigkeiten : Gen 2 / CUID

Eigenschaften

• UID: Nur 7b Versionen
• ATQA: alle Karten spielen festes ATQA ab
• SAK: alle Karten spielen festes SAK ab
• BCC: Karten spielen blind die Block0 BCC0 und Block2 BCC1 Bytes ab, Vorsicht!
• ATS: alle Karten antworten mit einem ATS

↑ Zurück nach oben

NTAG21x

Identifizieren

hf 14a info
...
[+] Magische Fähigkeiten : NTAG21x

Eigenschaften

Emuliert vollständig NTAG213, 213F, 215, 216, 216F

Emuliert teilweise UL EV1 48k/128k, NTAG210, NTAG212, NTAGI2C 1K/2K, NTAGI2C 1K/2K PLUS

Anticol-Abkürzung (CL1/3000): schlägt fehl

Proxmark3 Befehle

script run hf_mfu_magicwrite -h

Version und Signatur

Vergessen Sie nicht, maximale Lese-/Schreibblöcke zu konfigurieren:

hf 14a raw -s -c -t 1000 CF000000006BFB

Hinweis: 0xFB = 251

Ultralight EV1 und NTAG Versionsinformationen und Signatur werden jeweils in den Blöcken 250-251 und 242-249 gespeichert.

↑ Zurück nach oben

DESFire

"DESFire" APDU, 7b UID

Magische Befehle

Android (MTools) kompatibel - spezielle APDUs ausgeben

Eigenschaften

• ATQA: 0344
• SAK: 20
• ATS: 0675338102005110 oder 06757781028002F0

Imitiert nur DESFire-Antikollision (aber falsches ATS), keine weitere DESFire-Unterstützung

Proxmark3 Befehle

UID 04112233445566

hf 14a raw -s -c 0200ab00000704112233445566

oder gleichwertig

hf 14a apdu -s 00ab00000704112233445566

↑ Zurück nach oben

"DESFire" APDU, 4b UID

Magische Befehle

Android (MTools) kompatibel - spezielle APDUs ausgeben

Eigenschaften

• ATQA: 0008 (Dies ist FM1208-9, NICHT DESFire!)
• SAK: 20
• ATS: 0675338102005110 oder 06757781028002F0

Imitiert nur DESFire-Antikollision (aber falsches ATS), keine weitere DESFire-Unterstützung

Proxmark3 Befehle

UID 04112233445566

hf 14a raw -s -c 0200ab00000411223344

oder gleichwertig

hf 14a apdu -s 00ab00000411223344

↑ Zurück nach oben

ISO14443B

Tiananxin TCOS CPU-Karte

Dies ist eine auf Taobao verkaufte Karte zum Testen von Lesern. ISO14443-4 konform.

Identifizieren

hf 14a apdu -s 90B2900000 // Karten-OS-Version abrufen
>>> 90 B2 90 00 00
<<< 54 43 4F 53 20 56 31 2E 34 2E 30 90 00 | TCOS V1.4.0..

Magische Befehle

Alle Befehle in APDU.

CL IN P1 P2 Lc Daten
90 F4 CC CC 01 [..1 ] // Verwendetes Protokoll ändern              (1: ISO14443 [AA - Typ A, BB - Typ B])
90 F6 CC CC 01 [TA1 ] // TA1-Wert ändern (Übertragungsgeschwindigkeit)
90 F8 CC CC 01 [..1 ] // Zufälligen UID/PUPI-Wert verwenden         (1: FF: statisch, AB: zufällig)
90 F8 DD DD 01 [..1 ] // UID-Länge festlegen                    (1: Bytes in UID (04, 07, 0A für 4, 7, 10 Bytes entsprechend))
90 F8 EE EE 0B [... ] // UID/PUPI-Wert festlegen                (FF+UID-Wert hier eingeben). Zum Löschen Lc=01; Daten=00 verwenden.
90 FA CC CC 01 [FSCI] // FSCI festlegen                          (1: Wert 0-8)
90 FC CC CC 01 [SFGI] // SFGI festlegen (NICHT ZU HOCH SETZEN!)   (1: Wert 0-E)
90 FE CC CC 01 [FWI ] // FWI (NICHT UNTER 4 SETZEN!!!)   (Wert 0-E)

↑ Zurück nach oben

ISO15693

ISO15693 Magisch

Proxmark3 Befehle

Setzen Sie immer eine UID, die mit E0 beginnt.

hf 15 csetuid E011223344556677

oder (Fehler ignorieren):

script run hf_15_magic -u E004013344556677

↑ Zurück nach oben

Multi-Protokoll-Karten

Ultimate Magic Card (UMC)

Auch bekannt als Ultimate Magic Card, das hervorstechendste Merkmal ist der Schattenmodus (GTU) und optionale passwortgeschützte Backdoor-Befehle.

Kann MIFARE Classic, Ultralight/NTAG-Familien, 14b UID & App-Daten emulieren.

Identifizieren

hf 14a info
[+] Magische Fähigkeiten : Gen 4 GTU

Die Karte wird nur identifiziert, wenn das Passwort das Standardpasswort ist. Man kann eine solche Karte manuell identifizieren, wenn das Passwort noch das Standardpasswort ist, mit dem Befehl zum Abrufen der aktuellen Konfiguration:

hf 14a raw -s -c -t 1000 CF00000000C6

Wenn die Karte eine Ultimate Magic Card ist, gibt sie 30 oder 32 Bytes zurück.

Magische Befehle

Es gibt zwei Möglichkeiten, diese Karte zu programmieren:

1. Verwenden Sie die durch die hf 14a-Beispiele bezeichneten Raw-Befehle.
2. Verwenden Sie die hf_mf_ultimatecard.lua-Skriptbefehle. Dieses Skript ist nicht vollständig kompatibel mit der neuen Version UMC.

Zusammenfassung spezieller Raw-Befehle:

CF <passwort> 32 <00-04>                           // GTU-Schattenmodus konfigurieren
CF <passwort> 34 <1b Länge><0-16b ATS>            // ATS konfigurieren
CF <passwort> 35 <2b ATQA><1b SAK>                 // ATQA/SAK konfigurieren (ATQA-Bytes tauschen)
CF <passwort> 68 <00-02>                           // UID-Länge konfigurieren
CF <passwort> 69 <00-01>                           // Ultralight-Modus (de)aktivieren
CF <passwort> 6A <00-03>                           // Ultralight-Modus auswählen
CF <passwort> 6B <1b>                              // Ultralight un d M1 maximale Lese-/Schreibsektoren festlegen
CF <passwort> C6                                   // Konfiguration dumpen
CF <passwort> CC                                   // Versionsinformationen, gibt `00 00 00 [03 A0 (alt) / 06 A0 (neu) ]` zurück
CF <passwort> CD <1b Blocknummer><16b Blockdaten> // Backdoor 16b Block schreiben
CF <passwort> CE <1b Blocknummer>                 // Backdoor 16b Block lesen
CF <passwort> CF <1b param>                        // Direktes Schreiben auf Block 0 (de)aktivieren
CF <passwort> F0 <30b Konfigurationsdaten>          // Alle Parameter in einem Befehl konfigurieren
CF <passwort> F1 <30b Konfigurationsdaten>          // Alle Parameter in einem Befehl konfigurieren und Konfiguration dauerhaft verschmelzen
CF <passwort> FE <4b neues_passwort>                 // Passwort ändern

Standard <passwort>: 00000000

Eigenschaften

• UID: 4b, 7b und 10b Versionen
• ATQA/SAK: änderbar
• BCC: berechnet
• ATS: änderbar, kann deaktiviert werden
• Kartentyp: änderbar
• Schattenmodus: GTU
• Backdoor-Passwortmodus

Proxmark3 Befehle

# Inhalt des Tag-Speichers anzeigen:
hf mf gview
# Einen bestimmten Block über Backdoor-Befehl lesen:
hf mf ggetblk
# Einen bestimmten Block über Backdoor-Befehl schreiben:
hf mf gsetblk
# Dump auf Tag laden:
hf mf gload
# Dump vom Tag speichern:
hf mf gsave

ATQA / SAK ändern

hf 14a raw -s -c -t 1000 CF<passwort>35<2b ATQA><1b SAK>

Beispiel: ATQA 0044 SAK 28, Standardpasswort

hf 14a raw -s -c -t 1000 CF0000000035440028

ODER (Beachten Sie, dass das Skript das ATQA korrekt korrigiert)

script run hf_mf_ultimatecard -q 004428

ATS ändern

hf 14a raw -s -c -t 1000 CF<passwort>34<1b Länge><0-16b ATS>

• <Länge>: ATS-Längenbyte, auf 00 setzen um ATS zu deaktivieren
• Wenn SAK-Bit 6 gesetzt ist (z.B. SAK=20 oder 28), muss ATS eingeschaltet sein
• ATS-CRC wird automatisch hinzugefügt, nicht konfigurieren
• Max. ATS-Länge: 16 Bytes (+CRC)

Beispiel: ATS auf 0606757781028002F0, Standardpasswort

hf 14a raw -s -c -t 1000 CF000000003406067577810280

Oder

script run hf_mf_ultimatecard -z 06067577810280

UID-Länge festlegen (4, 7, 10)

hf 14a raw -s -c -t 1000 CF<passwort>68<1b param>

• <param>
  • 00: 4 Bytes
  • 01: 7 Bytes
  • 02: 10 Bytes

Beispiel: UID-Länge auf 7 Bytes setzen, Standardpasswort

hf 14a raw -s -c -t 1000 CF000000006801

14443A UID festlegen

UID wird gemäß Block0 mit einem Backdoor-Schreibvorgang konfiguriert.

Beispiel: Vorbereitung der ersten zwei Blöcke:

hf 14a raw -s -c -t 1000 CF00000000CD00000102030405060708090A0B0C0D0E0F
hf 14a raw -s -c -t 1000 CF00000000CD01101112131415161718191A1B1C1D1E1F
hf 14a reader

MFC-Modus 4b UID

⇒ UID 00010203

script run hf_mf_ultimatecard -t 4 -u 00010203

MFC-Modus 7b UID

⇒ UID 00010203040506

script run hf_mf_ultimatecard -t 5 -u 00010203040506

MFC-Modus, 10b UID

⇒ UID 00010203040506070809

script run hf_mf_ultimatecard -t 6 -u 00010203040506070809

Ultralight-Modus (de)aktivieren

hf 14a raw -s -c -t 1000 CF<passwort>69<1b param>

• <param>
  • 00: MIFARE Classic-Modus
  • 01: MIFARE Ultralight/NTAG-Modus

Beispiel: Ultralight-Protokoll aktivieren, Standardpasswort

hf 14a raw -s -c -t 1000 CF000000006901

Oder

script run hf_mf_ultimatecard -n 01

In diesem Modus verhält sie sich als Ultralight-Karte, wenn SAK=00 und ATQA=0044

Ultralight-Modus auswählen

hf 14a raw -s -c -t 1000 CF<passwort>6A<1b param>

• <param>
  • 00: UL EV1
  • 01: NTAG
  • 02: UL-C
  • 03: UL

Beispiel: Ultralight-Modus auf Ultralight-C setzen, Standardpasswort

hf 14a raw -s -c -t 1000 CF000000006A02

Oder

script run hf_mf_ultimatecard -m 02

Jetzt unterstützt die Karte die 3DES UL-C-Authentifizierung.

Schattenmodus (GTU) festlegen

hf 14a raw -s -c -t 1000 CF<passwort>32<1b param>

• <param>
  • 00: Vorschreiben, Schattendaten können geschrieben werden
  • 01: Wiederherstellungsmodus (WARNUNG: neue UMC (06a0) Karten geben Müll-Daten zurück bei Verwendung von 01)
  • 02: deaktiviert
  • 03: deaktiviert, Hochgeschwindigkeits-R/W-Modus für Ultralight?
  • 04: Split-Modus, funktioniert mit neuer UMC. Mit alter UMC ungetestet.

Direktes Block-Lesen und -Schreiben

Mit dem Backdoor-Befehl kann man jeden Bereich ohne MFC-Passwort lesen und schreiben, ähnlich wie bei der MFC Gen1-Karte.

Backdoor 16b Block lesen:

hf 14a raw -s -c -t 1000 CF<passwort>CE<1b Blocknummer>

Backdoor 16b Block schreiben:

hf 14a raw -s -c -t 1000 CF<passwort>CD<1b Blocknummer><16b Blockdaten>

Lese-/Schreibvorgänge arbeiten mit 16 Bytes, unabhängig vom Ultralight-Modus.

Beispiel: Block0 lesen, Standardpasswort

hf 14a raw -s -c -t 1000 CF00000000CE00

Beispiel: Block0 mit Werksdaten schreiben, Standardpasswort

hf 14a raw -s -c -t 1000 CF00000000CD00112233441C000011778185BA18000000

Direktes Schreiben auf Block 0 (de)aktivieren

Dieser Befehl aktiviert/deaktiviert direkte Schreibvorgänge auf Block 0.

hf 14a raw -s -c -t 1000 CF<passwort>CF<1b param>

• <param>
  • 00: Direktes Schreiben auf Block 0 aktivieren (Gleiches Verhalten wie Gen2-Karten. Einige Leser könnten die Karte als magisch identifizieren)
  • 01: Direktes Schreiben auf Block 0 deaktivieren (Gleiches Verhalten wie Vanilla-Karten)
  • 02: Standardwert. (Gleiches Verhalten wie 00 (?))

Backdoor-Passwort ändern

Alle Backdoor-Operationen sind durch ein Passwort geschützt. Wenn das Passwort vergessen wird, kann es nicht wiederhergestellt werden. Das Standardpasswort ist 00000000.

Passwort ändern:

hf 14a raw -s -c -t 1000 CF <passwort> FE <4b neues_passwort>

Beispiel: Passwort von 00000000 auf AABBCCDD ändern

hf 14a raw -s -c -t 1000 CF00000000FEAABBCCDD

Konfiguration dumpen

hf 14a raw -s -c -t 1000 CF<passwort>C6

Standardkonfiguration:

00000000000002000978009102DABC191010111213141516040008006B024F6B
                                                            ^^^^ CRC, Typ unbekannt
                                                          ^^ cf cmd cf: Block0 Direktschreibeinstellung
                                                        ^^ cf cmd 6b: maximale Lese-/Schreibsektoren
                                                      ^^ cf cmd 6a: UL-Modus
                                                ^^^^^^ cf cmd 35: ATQA/SAK
              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ cf cmd 34: ATS-Länge & Inhalt
            ^^ cf cmd 32: GTU-Modus
    ^^^^^^^^ cf cmd fe: Passwort
  ^^ cf cmd 68: UID-Länge
^^ cf cmd 69: Ultralight-Protokoll

Schnellkonfiguration

hf 14a raw -s -c -t 1000 CF<passwort>F0<30b Konfigurationsdaten>

Siehe Konfiguration dumpen für Beschreibung der Konfigurationsdaten.

Beispiel: Werkskonfiguration schreiben, mit Standardpasswort

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC191010111213141516040008004F6B

Voreinstellungen

Hier sind einige Voreinstellungen, die im FuseTool verfügbar sind (aber mit allen ATS deaktiviert)

MIFARE Mini S20 4-Byte UID

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000900

MIFARE Mini S20 7-Byte UID

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000900

MIFARE 1k S50 4-Byte UID (dies ist die Werkseinstellung)

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000800

MIFARE 1k S50 7-Byte UID

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000800

MIFARE 4k S70 4-Byte UID

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151602001800

MIFARE 4k S70 7 Byte UID

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151642001800

Ultralight

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000003FB

Ultralight-C

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000002FB

Ultralight EV1

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000000FB

NTAG21x

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000001FB

↑ Zurück nach oben