Carta mágica definitiva (Gen4)

INTRODUCCIÓN

La Ultimate Magic Card es una tarjeta de emulación multiprotocolo, capaz de emular todas las variantes de las familias MIFARE Classic® (1K, 4K, Mini), MIFARE Ultralight® y MIFARE Ultralight®, con UID de 4, 7 y 10 bytes.

Y lo que es más importante, todo se puede configurar: las características de la tarjeta (ATQA, SAK, valores ATS...) e incluso la funcionalidad de la tarjeta (modo de solo lectura, modo de lectura/escritura, «modo sombra», etc.).

Básicamente, se trata de una plataforma de emulación totalmente configurable en formato de tarjeta.

Durante muchos años, las tarjetas mágicas han ido añadiendo funcionalidades progresivamente: esta tarjeta, la «Gen4», es el resultado de años de trabajo: es la tarjeta mágica definitiva, imprescindible para pentesters, profesionales de la seguridad y entusiastas.

Tipos de tarjetas
configurables La tarjeta mágica definitiva contiene preajustes de múltiples tipos de tarjetas:

• MIFARE Mini
• MIFARE 1k S50 UID de 4 bytes
• MIFARE 1k S50 UID de 7 bytes
• MIFARE 1k S50 UID de 10 bytes
• MIFARE 4k S70 UID de 4 bytes
• MIFARE 4k S70 UID de 7 bytes
• MIFARE 4k S70 UID de 10 bytes
• Ultraligero
• Ultraligero-C
• Ultraligero Ev1
• NTAG

Como se indica a continuación, todos los valores ATQA/ATS/ATS son libremente configurables, lo que permite la emulación de otros chipsets o chipsets personalizados.

Parámetros
configurables La tarjeta admite la configuración de los siguientes parámetros:

• Tipo de tarjeta preestablecido
• UID
• Longitud del UID (4 bytes / 7 bytes / 10 bytes)
• SAK (1 byte)
• ATQA (2 bytes)
• ATS (longitud personalizada / desactivado)

Funcionalidad
configurable La tarjeta tiene varios modos de funcionamiento, dependiendo de sus necesidades

• Modo sombra
  El modo sombra, o modo «escribir una vez y olvidar», permite preconfigurar la tarjeta con datos. Cuando se actualiza por primera vez (es decir, a través de un lector de tarjetas / lector de control de acceso), las modificaciones se mantienen temporalmente.
  
  Los datos modificados se pueden leer una vez y, a continuación, la tarjeta vuelve a su estado preconfigurado. El modo
  
  sombra está diseñado específicamente para operaciones sobre el terreno. Anteriormente, una tarjeta tenía que escribirse, utilizarse, leerse y reescribirse manualmente; el modo sombra se encarga de esto sin necesidad de hardware adicional.
  
• Modo de recuperación
  Si la tarjeta está mal configurada, se puede volver a poner en modo de recuperación, lo que evita que se bloquee involuntariamente.
  
• Cálculo automático
  de BCC La tarjeta calcula automáticamente los valores BCC, lo que ahorra tiempo y evita que la tarjeta sea indetectable.
• Protección con contraseña/emulación de escritura única
  Los comandos de configuración se pueden proteger con una contraseña personalizable; no responderá a comandos mágicos ni a escrituras directas de valores restringidos a menos que se introduzca la contraseña correcta, lo que permite que la tarjeta funcione como una tarjeta de «escritura única».

Compatibilidad de programación
La tarjeta se puede programar en múltiples plataformas:

• Proxmark / iCopy-XS (a través del menú con scripts LUA)
• Android / iOS a través de MTools
• Flipper Zero
• LibNFC (a través de comandos manuales)
• Plataformas Windows + lector/escritor LibNFC (a través del software GUI)

Práctica: vea la tarjeta en acción

Dependiendo de sus herramientas, hay varias formas de programar esta tarjeta:

• MTools en Android/iOS: interfaz de usuario sencilla con opciones de configuración completas
• Proxmark / iCopy-X : a través de comandos sin procesar o el script LUA (no todas las funciones están implementadas)
• Flipper Zero : configuración sencilla a través de la aplicación NFC
• LibNFC : a través de tamashell. Comandos manuales.

Proxmark / iCopy-X

Hay dos formas de programar esta tarjeta:

1. Utilice los comandos sin procesar designados por los hf 14a ejemplos.
2. Utilice los comandos del script hf_mf_ultimatecard.lua. Este script no es totalmente compatible con la nueva versión de UMC.

Resumen de comandos sin procesar especiales:

CF  32 <00-04>                           // Configure GTU shadow mode
CF  34 <1b length><0-16b ATS>            // Configure ATS
CF  35 <2b ATQA><1b SAK>                 // Configure ATQA/SAK (swap ATQA bytes)
CF  68 <00-02>                           // Configure UID length
CF  69 <00-01>                           // (De)Activate Ultralight mode
CF  6A <00-03>                           // Select Ultralight mode
CF  6B <1b>                              // Set Ultralight and M1 maximum read/write sectors
CF  C6                                   // Dump configuration
CF  CC                                   // Version info, returns `00 00 00 [03 A0 (old) / 06 A0 (new) ]`
CF  CD <1b block number><16b block data> // Backdoor write 16b block
CF  CE <1b block number>                 // Backdoor read 16b block
CF  CF <1b param>                        // (De)Activate direct write to block 0
CF  F0 <30b configuration data>          // Configure all params in one cmd
CF  F1 <30b configuration data>          // Configure all params in one cmd and fuse the configuration permanently
CF  FE <4b new_password>                 // change password

Predeterminado : 00000000

Características

• UID: versiones 4b, 7b y 10b
• ATQA/SAK: modificable
• BCC: calculado
• ATS: modificable, se puede desactivar
• Tipo de tarjeta: modificable
• Modo sombra: GTU
• Modo de contraseña de puerta trasera

Comandos Proxmark3

# view contents of tag memory:
hf mf gview
# Read a specific block via backdoor command:
hf mf ggetblk
# Write a specific block via backdoor command:
hf mf gsetblk
# Load dump to tag:
hf mf gload
# Save dump from tag:
hf mf gsave

Cambiar ATQA / SAK

hf 14a raw -s -c -t 1000 CF35<2b ATQA><1b SAK>

Ejemplo: ATQA 0044 SAK 28, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF0000000035440028

O (tenga en cuenta que el script corregirá el ATQA correctamente)

script run hf_mf_ultimatecard -q 004428

Cambiar ATS

hf 14a raw -s -c -t 1000 CF34<1b length><0-16b ATS>

• : byte de longitud ATS, establecido en 00 para desactivar ATS
• Cuando se establece el bit 6 de SAK (por ejemplo, SAK=20 o 28), ATS debe estar activado
• El CRC ATS se añadirá automáticamente, no lo configure
• Longitud máxima de ATS: 16 bytes (+CRC)

Ejemplo: ATS a 0606757781028002F0, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000003406067577810280

O

script run hf_mf_ultimatecard -z 06067577810280

Establecer longitud UID (4, 7, 10)

hf 14a raw -s -c -t 1000 CF68<1b param>

• • 00: 4 bytes
  • 01: 7 bytes
  • 02: 10 bytes

Ejemplo: establecer la longitud del UID en 7 bytes, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000006801

Establecer UID 14443A

El UID se configura según el bloque 0 con una escritura de puerta trasera.

Ejemplo: preparación de los dos primeros bloques:

hf 14a raw -s -c -t 1000 CF00000000CD00000102030405060708090A0B0C0D0E0F
hf 14a raw -s -c -t 1000 CF00000000CD01101112131415161718191A1B1C1D1E1F
hf 14a reader

Modo MFC 4b UID

⇒ UID 00010203

script run hf_mf_ultimatecard -t 4 -u 00010203

Modo MFC 7b UID

⇒ UID 00010203040506

script run hf_mf_ultimatecard -t 5 -u 00010203040506

Modo MFC, 10b UID

⇒ UID 00010203040506070809

script run hf_mf_ultimatecard -t 6 -u 00010203040506070809

(Des)activar modo ultraligero

hf 14a raw -s -c -t 1000 CF69<1b param>

• • 00: Modo MIFARE Classic
  • 01: Modo MIFARE Ultralight/NTAG

Ejemplo: activar protocolo Ultralight, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000006901

O

script run hf_mf_ultimatecard -n 01

En este modo, si SAK=00 y ATQA=0044, actúa como una tarjeta Ultralight

Seleccione el modo Ultralight

hf 14a raw -s -c -t 1000 CF6A<1b param>

• • 00: UL EV1
  • 01: NTAG
  • 02: UL-C
  • 03: UL

Ejemplo: establecer el modo Ultralight en Ultralight-C, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000006A02

O

script run hf_mf_ultimatecard -m 02

Ahora la tarjeta admite la autenticación 3DES UL-C.

Configurar el modo Shadow (GTU)

hf 14a raw -s -c -t 1000 CF32<1b param>

• • 00: preescritura, se pueden escribir datos sombra
  • 01: modo de restauración (ADVERTENCIA: las nuevas tarjetas UMC (06a0) devuelven datos basura cuando se utiliza 01)
  • 02: desactivado
  • 03: desactivado, ¿modo R/W de alta velocidad para Ultralight?
  • 04: modo dividido, funciona con el nuevo UMC. No se ha probado con el antiguo UMC.

Lectura y escritura directa de bloques

Utilizando el comando backdoor, se puede leer y escribir en cualquier área sin contraseña MFC, de forma similar a la tarjeta MFC Gen1.

Lectura de bloque de 16 bits por la puerta trasera:

hf 14a raw -s -c -t 1000 CFCE<1b block number>

Escritura de bloque de 16 bits por puerta trasera:

hf 14a raw -s -c -t 1000 CFCD<1b block number><16b block data>

Las operaciones de lectura/escritura funcionan en 16 bytes, independientemente del modo Ultralight.

Ejemplo: leer bloque0, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF00000000CE00

Ejemplo: escribir bloque 0 con datos de fábrica, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF00000000CD00112233441C000011778185BA18000000

(Des)activar la escritura directa en el bloque 0

Este comando habilita/deshabilita la escritura directa en el bloque 0.

hf 14a raw -s -c -t 1000 CFCF<1b param>

• • 00: Activar la escritura directa en el bloque 0 (mismo comportamiento que las tarjetas Gen2. Algunos lectores pueden identificar la tarjeta como mágica)
  • 01: Desactivar la escritura directa en el bloque 0 (mismo comportamiento que las tarjetas vanilla).
  • 02: Valor predeterminado. (Mismo comportamiento que 00 (?))

Cambiar la contraseña de la puerta trasera

Todas las operaciones de puerta trasera están protegidas por una contraseña. Si se olvida la contraseña, no se puede recuperar. La contraseña predeterminada es 00000000.

Cambiar contraseña:

hf 14a raw -s -c -t 1000 CF  FE <4b new_password>

Ejemplo: cambiar la contraseña de 00000000 a AABBCCDD

hf 14a raw -s -c -t 1000 CF00000000FEAABBCCDD

Volcar la configuración

hf 14a raw -s -c -t 1000 CFC6

Configuración predeterminada:

00000000000002000978009102DABC191010111213141516040008006B024F6B
                                                            ^^^^ CRC, type unknown
                                                          ^^ cf cmd cf: block0 direct write setting
                                                        ^^ cf cmd 6b: maximum read/write sectors
                                                      ^^ cf cmd 6a: UL mode
                                                ^^^^^^ cf cmd 35: ATQA/SAK
              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ cf cmd 34: ATS length & content
            ^^ cf cmd 32: GTU mode
    ^^^^^^^^ cf cmd fe: password
  ^^ cf cmd 68: UID length
^^ cf cmd 69: Ultralight protocol

Configuración rápida

hf 14a raw -s -c -t 1000 CFF0<30b configuration data>

Consulte Volcar configuración para obtener una descripción de los datos de configuración.

Ejemplo: escribir la configuración de fábrica, utilizando la contraseña predeterminada

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC191010111213141516040008004F6B

Preajustes

A continuación se muestran algunos preajustes disponibles en FuseTool (pero con todos los ATS desactivados)

MIFARE Mini S20 UID de 4 bytes

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000900

MIFARE Mini S20 UID de 7 bytes

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000900

MIFARE 1k S50 UID de 4 bytes (este es el ajuste de fábrica)

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000800

MIFARE 1k S50 UID de 7 bytes

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000800

MIFARE 4k S70 UID de 4 bytes

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151602001800

MIFARE 4k S70 UID de 7 bytes

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151642001800

Ultralight

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000003FB

Ultraligero-C

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000002FB

Ultraligero EV1

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000000FB

NTAG21x

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000001FB

Demostración en vivo - Comandos Proxmark Raw

Demostración en vivo: comandos integrados de Proxmark

Comandos LibNFC / Tamashell para tarjetas Gen4

LibNFC y Tamashell proporcionan un método alternativo para interactuar con las tarjetas Ultimate Magic (Gen4/GTU) utilizando comandos sin procesar a través de lectores basados en PN53x, como el DL533N.

Formato de comando

Los comandos LibNFC/Tamashell requieren un preámbulo específico antes de cada comando Gen4:

$ pn53x-tamashell
4a 01 00          # Initialize communication
42  # Execute Gen4 command

Iniciar Tamashell

pn53x-tamashell

Esto abrirá una sesión interactiva con su lector NFC basado en PN53x.

Volcar la configuración

Lea la configuración actual de la tarjeta Gen4 (contraseña predeterminada 00000000):

> 4a 01 00
> 42 CF 00 00 00 00 C6

Devuelve 32 bytes de datos de configuración.

Obtener información de la versión

Compruebe la versión de la tarjeta Gen4:

> 4a 01 00
> 42 CF 00 00 00 00 CC

Devuelve información sobre la versión:

• UMC antiguo: 00 00 00 03 A0
• Nuevo UMC: 00 00 00 06 A0

Bloque de lectura de puerta trasera

Lea un bloque de 16 bytes a través de la puerta trasera (ejemplo: bloque 0):

> 4a 01 00
> 42 CF 00 00 00 00 CE 00

Reemplace 00 al final por el número de bloque deseado.

Bloque de escritura por puerta trasera

Escriba un bloque de 16 bytes a través de la puerta trasera (ejemplo: cambie el UID a AA BB CC DD):

> 4a 01 00
> 42 CF 00 00 00 00 CD 00 AA BB CC DD 1C 00 00 11 77 81 85 BA 18 00 00 00

Formato: CD <16 bytes data>

Cambiar ATQA/SAK

Establezca los valores ATQA y SAK (ejemplo: ATQA 0044, SAK 18 para una tarjeta de 4K):

> 4a 01 00
> 42 CF 00 00 00 00 35 44 00 18

Configure ATS

Configure los datos ATS (Answer To Select):

> 4a 01 00
> 42 CF 00 00 00 00 34 06 06 75 77 81 02 80

Formato: 34

• Establezca la longitud en 00 para desactivar ATS
• El CRC de ATS se añade automáticamente
• Longitud máxima de ATS: 16 bytes (+CRC)

Establecer la longitud del UID

Configure la longitud del UID (4, 7 o 10 bytes):

UID de 4 bytes:

> 4a 01 00
> 42 CF 00 00 00 00 68 00

UID de 7 bytes:

> 4a 01 00
> 42 CF 00 00 00 00 68 01

UID de 10 bytes:

> 4a 01 00
> 42 CF 00 00 00 00 68 02

Escribir UID de 7 bytes

Después de establecer la longitud del UID en 7 bytes, escriba el UID en el bloque 0:

> 4a 01 00
> 42 CF 00 00 00 00 CD 00 04 AA BB CC DD EE FF 08 44 00 18 00 00 00 00 00 00

El UID comienza con 04 (etiqueta en cascada) seguido de los 6 bytes del UID.

Configure el modo sombra GTU

Configure el funcionamiento del modo sombra:

Modo de preescritura:

> 4a 01 00
> 42 CF 00 00 00 00 32 00

Desactivado:

> 4a 01 00
> 42 CF 00 00 00 00 32 02

Modo dividido (nuevo UMC):

> 4a 01 00
> 42 CF 00 00 00 00 32 04

(Des)activar escritura directa en el bloque 0

Desactivar (comportamiento de tarjeta básica):

> 4a 01 00
> 42 CF 00 00 00 00 CF 01

Activar (comportamiento similar a Gen2):

> 4a 01 00
> 42 CF 00 00 00 00 CF 00

Cambiar al modo Ultralight

Activar protocolo ultraligero:

> 4a 01 00
> 42 CF 00 00 00 00 69 01

Volver a MIFARE Classic:

> 4a 01 00
> 42 CF 00 00 00 00 69 00

Seleccionar modo Ultralight

Después de activar el protocolo Ultralight, seleccione el modo específico:

Ultralight EV1:

> 4a 01 00
> 42 CF 00 00 00 00 6A 00

NTAG:

> 4a 01 00
> 42 CF 00 00 00 00 6A 01

Ultralight-C:

> 4a 01 00
> 42 CF 00 00 00 00 6A 02

Ultralight:

> 4a 01 00
> 42 CF 00 00 00 00 6A 03

Configuración rápida

Configure todos los parámetros a la vez (ejemplo: MIFARE 1K 4 bytes UID predeterminado de fábrica):

> 4a 01 00
> 42 CF 00 00 00 00 F0 00 00 00 00 00 00 02 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 04 00 08 00

Cambiar la contraseña de la puerta trasera

Cambie la contraseña de la puerta trasera del valor predeterminado (00000000) a un nuevo valor:

> 4a 01 00
> 42 CF 00 00 00 00 FE AA BB CC DD

Uso de la nueva contraseña

Después de cambiar la contraseña, utilice la nueva contraseña en todos los comandos:

> 4a 01 00
> 42 CF AA BB CC DD C6

Sustituya 00 00 00 00 por su nueva contraseña AA BB CC DD en todos los comandos.

Preajustes

Configuraciones comunes de tarjetas utilizando el comando de configuración rápida:

MIFARE Mini S20 UID de 4 bytes:

> 4a 01 00
> 42 CF 00 00 00 00 F0 00 00 00 00 00 00 02 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 04 00 09 00

MIFARE 1K S50 UID de 4 bytes (predeterminado de fábrica):

> 4a 01 00
> 42 CF 00 00 00 00 F0 00 00 00 00 00 00 02 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 04 00 08 00

MIFARE 1K S50 UID de 7 bytes:

> 4a 01 00
> 42 CF 00 00 00 00 F0 00 01 00 00 00 00 02 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 44 00 08 00

MIFARE 4K S70 UID de 4 bytes:

> 4a 01 00
> 42 CF 00 00 00 00 F0 00 00 00 00 00 00 02 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 02 00 18 00

MIFARE 4K S70 UID de 7 bytes:

> 4a 01 00
> 42 CF 00 00 00 00 F0 00 01 00 00 00 00 02 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 42 00 18 00

Ultralight:

> 4a 01 00
> 42 CF 00 00 00 00 F0 01 01 00 00 00 00 03 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 44 00 00 03 FB

Ultralight-C:

> 4a 01 00
> 42 CF 00 00 00 00 F0 01 01 00 00 00 00 03 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 44 00 00 02 FB

Ultraligero EV1:

> 4a 01 00
> 42 CF 00 00 00 00 F0 01 01 00 00 00 00 03 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 44 00 00 00 FB

NTAG21x:

> 4a 01 00
> 42 CF 00 00 00 00 F0 01 01 00 00 00 00 03 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 44 00 00 01 FB

Salir de Tamashell

> exit

Notas

• Todos los comandos requieren la 4a 01 00 inicialización antes del 42 comando
• La contraseña predeterminada es 00 00 00 00
• Los comandos no distinguen entre mayúsculas y minúsculas para los valores hexadecimales
• Se requieren espacios entre los bytes hexadecimales
• LibNFC/Tamashell funciona con lectores basados en PN53x (ACR122U, PN532, etc.)

Demostración en vivo: comandos LibNFC / Tamashell

Desbloqueo

El «bloqueo suave» se refiere a cuando una tarjeta mágica se ha configurado de tal manera que impide su detección. Las formas de bloquear suavemente las etiquetas incluyen:

• BCC incorrecto
• SAK incorrecto
• ATQA incorrecto
• ATS incorrecto
• Valores ACL (control de acceso) incorrectos

Algunas situaciones de «soft-brick» pueden resolverse con comandos especiales. Si su MIFARE Mini® Compatible 4-byte UID Modifiable está «soft-bricked», puede intentar recuperarlo con los siguientes métodos:

Con Proxmark / iCopy-X

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000800

A través de un lector/grabador externo y MTOOLS

Seleccione la función «UID Changer» en MTools, seleccione «bricked» y ejecute la tarea

A través de LibNFC y tamashell

> 4a 01 00
> 42 CF 00 00 00 00 F0 00 00 00 00 00 00 02 00 09 78 00 91 02 DA BC 19 10 10 11 12 13 14 15 16 04 00 08 00

IMPORTANTE:

Lab401 no puede ofrecer reembolsos bajo ninguna circunstancia por tarjetas que hayan quedado «bloqueadas» debido a configuraciones incorrectas.

Recursos técnicos

• Documentación de Ultimate Magic Card Command
• Documentación de scripts LUA de Proxmark / iCopy-XS
• Herramienta de programación (Windows)