Conoce tus cartas mágicas

Historia de las Tarjetas Mágicas

En el principio existía la tarjeta MIFARE CLASSIC® 1K.
Comparada con las etiquetas de 125KHz de la época, que simplemente emitían una cadena de datos, la MIFARE CLASSIC® 1K era una tarjeta avanzada.

Cada tarjeta individual tenía un ID Único individual. Estos bloques UID se gestionaban entre fabricantes para asegurar que nunca dos tarjetas tuvieran el mismo UID.

La MIFARE CLASSIC® 1K también presentaba una pluralidad de sectores de datos, listas de control de acceso y claves.

A medida que la MIFARE CLASSIC® 1K se volvió más popular, muchas empresas y soluciones de control de acceso comenzaron a usar el UID como característica de seguridad - confiando en el UID para autenticar tarjetas, usuarios, compras y más.

El sistema de cifrado de la MIFARE CLASSIC® 1K, combinado con un pobre Generador de Números Pseudo-Aleatorios (PRNG) fueron crackeados - ahora significando que las tarjetas podían ser crackeadas y volcadas.

En un momento similar, las empresas chinas, notablemente FUDAN, comenzaron a crear chipsets 'Compatibles' - y algunos de estos chipsets desarrollaron habilidades especiales, incluso... mágicas... incluyendo falsificar el sagrado UID.

Las generaciones originales de chips Compatibles / Mágicos MIFARE CLASSIC® requerían una secuencia especial para 'Desbloquear' la tarjeta. Una vez desbloqueada - toda la tarjeta, incluyendo las secciones UID y ACL podían ser leídas y escritas.

El código de desbloqueo, 0x43 / 0x40 se volvió tan conocido - que muchos sistemas lectores de tarjetas consultarían este código a todas las tarjetas. Si una etiqueta respondía - se consideraba una tarjeta clonada, y se rechazaba.

En respuesta, las tarjetas "Mágicas" desarrollaron otras habilidades - algunas permitían "Escritura Directa" en cualquier lugar de la tarjeta, sin códigos de desbloqueo - y otras permitían que el UID se cambiara solo una vez.

Con cada iteración, los chipsets también se volvieron más y más estables, y también podían emular más y más tipos de tarjetas.

Hoy - las tarjetas "Mágicas" más modernas pueden soportar bastante abuso del usuario (escribir valores incorrectos, corromper los sectores del fabricante, etc.) - pero en general deben tratarse con cuidado - para no 'bloquearlas'.

Recientemente, se lanzó la "Tarjeta Mágica Definitiva". También conocida como "Gen 4", esta tarjeta es un emulador de tarjetas de 13.56MHz altamente configurable.

Puede emular nativamente etiquetas NTAG / MIFARE / Ultralight (y todas sus variaciones), soporta control completo sobre valores ATQA/SAK/ATS, UID y longitud de UID (4, 7 y 10 bytes) y tiene funcionalidad avanzada incluyendo Modo de Recuperación, Modo Sombra y Cálculo automático de BCC.

↑ Volver arriba

Hoja de Referencia de Tarjetas Mágicas Comunes

Aunque ahora literalmente cientos de tipos de tarjetas mágicas se pueden encontrar en la naturaleza, para propósitos de clonación de tarjetas, las siguientes tarjetas mágicas son las más comúnmente disponibles, más soportadas y más compatibles tarjetas/chipsets disponibles.

Tarjetas Mágicas MIFARE Classic

Tarjetas Mágicas Avanzadas

↑ Volver arriba

Tarjetas de Baja Frecuencia

T55xx

El temic T55xx/Atmel ATA5577 es el chip más comúnmente usado para clonar RFIDs LF.

Características

• 28/24 bytes de memoria de usuario (sin/con contraseña)
• Configuración de salida universal (velocidad de datos, modulación, etc.)
• Protección por contraseña (4 bytes), generalmente "19920427"
• Bits de bloqueo por página
• Configuración del frontend analógico
• Otros nombres:
  • 5577
  • 5200 (CN) - Versión reducida del chip T55xx
  • H2 (RU) - Parece ser el chip 5200 renombrado
  • RW125T5 (RU)

Detectar

[usb] pm3 --> lf search
...
[+] Detección de chipset: T55xx

↑ Volver arriba

EM4x05

Los chips EM4305 y EM4205 (y 4469/4569) son los segundos chips más comunes usados para clonar RFIDs LF. También es usado por HID Global (pero con un chip personalizado) para credenciales HIDProx.

Características

• 36 bytes de memoria de usuario
• Las configuraciones de salida son limitadas (solo ASK, FSK agregado en variante HID)
• Protección por contraseña (4 bytes), generalmente "84AC15E2"
• Página de bloqueo usada
• Otros nombres:
  • H3 (RU)
  • RW125EM (RU)

Detectar

[usb] pm3 --> lf search
...
[+] Detección de chipset: EM4x05 / EM4x69

↑ Volver arriba

Serie ID82xx

Estos son chips chinos personalizados principalmente usados para clonar IDs EM. A menudo, estos son clones rediseñados de chips Hitag.

ID8265

Este es el chip ID82xx más barato y común disponible. Generalmente se vende como T55xx en AliExpress, con excusas para usar clonadores.

Características:

• El chip es probablemente una versión reducida del clon Hitag µ (micro)
• UID 00 00 00 00 00 00
• Protección por contraseña (4b), generalmente "00000000"(predeterminado) o "9AC4999C"(FURUI)
• Bloque de configuración 0xFF
• Actualmente no implementado en el cliente proxmark3
• Otros nombres: ID8210 (CN), H-125 (CN), H5 (RU)

ID8211

Esta es una variante "mejorada" de chips ID82xx, evitando alguna detección mágica en China.

Características:

• El chip es probablemente una versión reducida del clon Hitag S2048
• Sin protección por contraseña
• Página 1 completamente modificable, predeterminado: CA 24 00 00
• Las páginas 41-43 contienen datos desconocidos de solo lectura
• Páginas 44-63 solo lectura a 00 00 00 00

ID-F8268

Esta es una variante "mejorada" de chips ID82xx, evitando alguna detección mágica en China.

Características:

• El chip es probablemente una versión reducida del clon Hitag S2048
• Protección por contraseña (4b), generalmente "BBDD3399"(predeterminado) o "AAAAAAAA"
• Página 1 completamente modificable, predeterminado: DA A4 00 00
• Otros nombres: F8278 (CN), F8310 (CN), K8678 fabricado por Hyctec

↑ Volver arriba

Serie H

Estos son chips vendidos en Rusia, fabricados por iKey LLC. A menudo estos son personalizados.

H1

El chip de clonación de ID EM más simple disponible. Oficialmente descontinuado.

Características:

• Actualmente casi toda la estructura es desconocida
• Sin bloqueo o protección por contraseña
• El chip "OTP" es el mismo chip, pero con ID EM de ceros. Bloqueado después de la primera escritura
• Otros nombres: RW64bit, RW125FL

H5.5 / H7

Primer chip personalizado "avanzado" con nomenclatura H.

Características:

• Actualmente toda la estructura es desconocida
• Sin protección por contraseña
• Solo soportado por clonadores rusos "TMD"/"RFD"
• H7 se anuncia para funcionar con control de acceso "Stroymaster"
• Establecer ID a "3F0096F87E" hará que el chip aparezca como T55xx

↑ Volver arriba

Tarjetas ISO14443A

Identificando Tarjetas Mágicas ISO14443A Rotas

Cuando la configuración de una tarjeta mágica está realmente desordenada y la tarjeta no está etiquetada, puede ser difícil averiguar qué tipo de tarjeta es.

Aquí hay algunos consejos si la tarjeta no reacciona o da error en un simple hf 14a reader:

Forcemos una anticolisión UID 4b y veamos qué pasa:

hf 14a config --atqa force --bcc ignore --cl2 skip --rats skip
hf 14a reader

Si responde, sabemos que es una tarjeta TypeA. Pero tal vez es un UID 7b, así que forcemos una anticolisión UID 7b:

hf 14a config --atqa force --bcc ignore --cl2 force --cl3 skip --rats skip
hf 14a reader

En esta etapa, sabes si es una tarjeta TypeA 4b o 7b y puedes verificar más adelante en esta página cómo reconfigurar diferentes tipos de tarjetas.

Para restaurar la configuración de anticolisión del Proxmark3:

hf 14a config --std

↑ Volver arriba

MIFARE Classic

Referido como M1, S50 (1k), S70 (4k)

MIFARE Classic Bloque 0

UID 4b: (en realidad NUID ya que no hay más IDs "únicos" en 4b)

11223344440804006263646566676869
^^^^^^^^                         UID
        ^^                       BCC
          ^^                     SAK(*)
            ^^^^                 ATQA
                ^^^^^^^^^^^^^^^^ Datos del fabricante

(*) algunas tarjetas tienen un SAK diferente en su anticolisión y en el bloque0: +0x80 en el bloque0 (ej. 08->88, 18->98)

Calculando BCC en UID 11223344: analyse lrc -d 11223344 = bf

UID 7b:

04112233445566884400c82000000000
^^                               Byte del fabricante
^^^^^^^^^^^^^^                   UID
              ^^                 SAK(*)
                ^^^^             ATQA
                    ^^^^^^^^^^^^ Datos del fabricante

(*) ¿todas? las tarjetas tienen un SAK diferente en su anticolisión y en el bloque0: +0x80 en el bloque0 (ej. 08->88, 18->98)

↑ Volver arriba

MIFARE Classic Gen1A (también conocido como UID)

Otros nombres: ZERO (RU)

Identificar

hf mf info
...
[+] Capacidades mágicas... Gen 1a

Comandos Mágicos

• Borrar: 40(7), 41 (usar tiempo de espera de 2000ms)
• Leer: 40(7), 43, 30xx+crc
• Escribir: 40(7), 43, A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

Características

• UID: Solo versiones 4b
• ATQA: todas las tarjetas reproducen ciegamente los bytes ATQA del bloque0, ¡cuidado!
• SAK: el comportamiento varía según el sabor
• BCC: todas las tarjetas reproducen ciegamente el byte BCC del bloque0, ¡cuidado!
• ATS: ninguna tarjeta con ATS

Sabores

Sabor	SAK	PRNG	Borrar
1	Reproduce ciegamente el SAK del bloque0	estático 01200145	llenado con 0xFF
2	Reproduce ciegamente el SAK del bloque0	estático 01200145	llenado con 0x00
3	08	estático 01200145	llenado con 0xFF
4	08	débil	tiempo de espera, sin borrado
5	08	débil	responde ok pero sin borrado
6	08 o 88 si el MSB del SAK del bloque0 está establecido	débil	tiempo de espera, sin borrado
7	08 o 88 si el MSB del SAK del bloque0 está establecido	débil	llenado con 0x00

Comandos Proxmark3

hf mf csetuid
hf mf cwipe
hf mf csetblk
hf mf cgetblk
hf mf cgetsc
hf mf cload
hf mf csave
hf mf cview

Cuando está "soft-bricked" (escribiendo datos inválidos en el bloque0), estos pueden ayudar:

# MFC Gen1A 1k:
hf mf cwipe -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k:
hf mf cwipe -u 11223344 -a 0044 -s 18

o simplemente arreglando el bloque0:

# MFC Gen1A 1k:
hf mf csetuid -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k:
hf mf csetuid -u 11223344 -a 0044 -s 18

↑ Volver arriba

MIFARE Classic Gen1B

Similar a Gen1A, pero soporta lectura/escritura directa después del comando 40

Identificar

hf mf info
...
[+] Capacidades mágicas... Gen 1b

Comandos Mágicos

• Leer: 40(7), 30xx
• Escribir: 40(7), A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

↑ Volver arriba

MIFARE Classic DirectWrite (Gen2 / CUID)

También referido como compatible con MCT por algunos vendedores

Otros nombres: MF-8 (RU), MF-3 (RU), MF-3.2 (RU)

Identificar

hf mf info
...
[+] Capacidades mágicas... Gen 2 / CUID

Comandos Mágicos

Compatible con Android (MTools) - emite escritura regular al bloque0

Características

• UID: versiones 4b y 7b
• ATQA: algunas tarjetas reproducen ciegamente los bytes ATQA del bloque0, algunas usan ATQA fijo
• SAK: algunas tarjetas reproducen ciegamente el byte SAK del bloque0, algunas usan SAK fijo
• BCC: algunas tarjetas reproducen ciegamente el byte BCC del bloque0, algunas calculan BCC apropiado
• ATS: algunas tarjetas no responden a RATS, algunas responden con un ATS

Comandos Proxmark3

hf mf wrbl --blk 0 -k FFFFFFFFFFFF -d 11223344440804006263646566676869 --force

hf mf wipe --gen2

Cuando está "soft-bricked", usa hf 14a config para forzar configuraciones ATQA/BCC.

↑ Volver arriba

MIFARE Classic Gen3 (APDU)

Identificar

hf mf info
...
[+] Capacidades mágicas... Gen 3 / APDU ( posiblemente )

Comandos Mágicos

Compatible con Android (MTools) - emite APDUs especiales

cla  ins p1  p2  len
 90  F0  CC  CC  10 <bloque0>  - escribir bloque 0
 90  FB  CC  CC  07 <uid>     - cambiar uid (independientemente de los datos del bloque0)
 90  FD  11  11  00           - bloquear permanentemente

Características

• UID: versiones 4b y 7b
• ATQA/SAK: fijo
• BCC: automático
• ATS: ninguno

Comandos Proxmark3

# cambiar solo UID:
hf mf gen3uid
# escribir bloque0:
hf mf gen3blk
# bloquear (¿uid/bloque0?) para siempre:
hf mf gen3freeze

↑ Volver arriba

MIFARE Classic QL88

Etiquetas diseñadas para usar con el dispositivo de clonación "CopyKey X5". Estas tarjetas implementan características personalizadas como una forma de DRM rudimentario (Gestión de Derechos Digitales) para evitar que el CopyKey funcione con otras etiquetas en blanco. Fabricadas por QinLin neighbor technology, estas tarjetas se nombran por su distintivo valor SAK de 88 en el Bloque 0.

Identificar

hf mf info
...
[=] --- Información PRNG
[+] Prng................. duro

Características

• UID: versiones 4b
• ATQA/SAK: valor SAK de 88 almacenado en el Bloque 0 (no usado durante anticolisión)
• BCC: calculado
• ATS: ninguno
• PRNG: duro
• Firma: Contiene datos de firma en el Sector 17
• Claves Personalizadas: El Sector 17 usa Clave A personalizada (0x2612C6DE84CA) y Clave B (0x707B11FC1481)
• Datos del Fabricante: El Bloque 0 siempre contiene 88980020 000000F8
• Sector 16: Completamente escribible por el usuario

Comandos Proxmark3

# Leer Sector 17 con claves personalizadas:
hf mf rdsc --sec 17 -a 2612C6DE84CA -b 707B11FC1481

# Verificar datos del fabricante en el Bloque 0:
hf mf rdbl --blk 0 -k FFFFFFFFFFFF

↑ Volver arriba

MIFARE Classic HUID

Una variación de la etiqueta QL88 que parece usar una Función de Derivación de Clave (KDF) personalizada para la generación de claves. A pesar del mecanismo de claves personalizado, la estructura y comportamiento subyacentes siguen siendo similares a las tarjetas QL88. El análisis sugiere que estas son esencialmente etiquetas CUID con claves personalizadas aplicadas.

Características

• UID: versiones 4b
• Generación de Claves: Usa KDF personalizado (Función de Derivación de Clave)
• Tipo Base: Parece ser etiqueta CUID con claves personalizadas
• Compatibilidad: Misma estructura de claves que QL88

↑ Volver arriba

MIFARE Classic USCUID

Estas tarjetas mágicas tienen una página de configuración de 16 bytes de largo, que generalmente comienza con 0x85. Todas las etiquetas conocidas que usan esta configuración se enumeran aquí.

Características

• UID: 4/7 bytes
• ATQA: siempre leído del bloque 0
• SAK: leído del backdoor o configuración
• BCC: leído de la memoria, ¡cuidado!
• ATS: no/desconocido

Identificar

hf mf info
...
[+] Capacidades mágicas... Gen 4 GDM / USCUID ( Magic Auth/Gen1 Magic Wakeup/Alt Magic Wakeup )

Comandos Mágicos

• Autenticación mágica: seleccionar, 8000+crc, [Crypto1 Auth: 000000000000]
• Despertar mágico (A: 00): 40(7), 43
• Despertar mágico (B: 85): 20(7), 23
• Lectura backdoor: 38xx+crc
• Escritura backdoor: A8xx+crc, [16 bytes datos]+crc
• Leer configuración: E000+crc
• Escribir configuración: E100+crc, [16 bytes datos]+crc

Guía de Configuración USCUID

Formato de configuración:

85000000000000000000000000000008
      ^^^^^^    ^^          ^^   >> ??? Misterio ???
^^^^                             >> Modo Gen1a (funciona con bitflip)
    ^^                           >> Comando de despertar mágico (00 para 40-43; 85 para 20-23)
            ^^                   >> Bloquear uso de Clave B si es legible por ACL
              ^^                 >> Modo CUID
                  ^^             >> Configuración MFC EV1 CL2 Perso
                    ^^           >> Modo sombra
                      ^^         >> Comando Magic Auth
                        ^^       >> Modo nonce cifrado estático
                          ^^     >> Sector de firma
                              ^^ >> SAK

Para habilitar una opción, establézcala en 5A.

Comandos Proxmark3

# Leer bloque de configuración de la tarjeta
hf mf gdmcfg

# Escribir bloque de configuración en la tarjeta
hf mf gdmsetcfg

# Analizar bloque de configuración en la tarjeta
hf mf gdmp arsecfg

# Escribir bloque en la tarjeta
hf mf gdmsetblk

Variaciones Conocidas

Configuración de Fábrica	Nombre
850000000000000000005A5A00000008	GDM
850000000000005A00FF005A00000008	GDCUID
850000000000005A0000005A5A5A0008	UCUID
8500000000005A00005A005A005A0008	"7 byte duro"
7AFF850102015A00005A005A005A0008	M1-7B
7AFF85000000000000FF000000000008	FUID
7AFF000000000000BAFA358500000008*	PFUID
7AFF000000000000BAFA000000000008	UFUID
7AFF0000000000000000000000000008	ZUID

*¡No todas las etiquetas son iguales! UFUID, ZUID y PFUID no son implementaciones completas de USCUID.

↑ Volver arriba

MIFARE Classic Super

Se comporta como Mifare Classic regular pero registra intentos de autenticación del lector.

MIFARE Classic Super Gen1

Tipo antiguo de tarjetas, difícil de obtener. Son DirectWrite, el UID puede cambiarse a través del bloque 0 o comandos backdoor.

• UID: versión 4b
• ATQA/SAK: fijo
• BCC: automático
• ATS: fijo, 0978009102DABC1910F005

ATQA/SAK coincide con tarjeta 1k, pero funciona como tarjeta 4k.

MIFARE Classic Super Gen2

Nueva generación de tarjetas, basada en chip Gen4 limitado. Emula protocolo backdoor Gen1, pero puede almacenar hasta 7 trazas diferentes.

La tarjeta siempre responde ff ff ff ff como at, por lo que leer/escribir a través del protocolo Mifare es imposible.

• UID: versiones 4b y 7b
• ATQA/SAK: fijo
• BCC: automático
• ATS: cambiable, predeterminado como Gen1

Identificar

hf mf info
...
[+] Capacidades mágicas... Super card ( Gen ? )

Comandos Proxmark3

hf mf supercard

↑ Volver arriba

MIFARE Ultralight

MIFARE Ultralight Bloques 0..2

SN0  SN1  SN2  BCC0
SN3  SN4  SN5  SN6
BCC1 Int  LCK0 LCK1

El UID está compuesto por los bytes SN0..SN6

Calculando BCC0 en UID 04112233445566: analyse lrc -d 88041122 = bf

Calculando BCC1 en UID 04112233445566: analyse lrc -d 33445566 = 44

Int es interno, típicamente 0x48

El atajo Anticol (CL1/3000) es soportado para UL, ULC, NTAG excepto NTAG I2C

↑ Volver arriba

MIFARE Ultralight Gen1A

Comandos Proxmark3

script run hf_mfu_setuid -h

Cuando está "soft-bricked" (escribiendo datos inválidos en el bloque0), estos pueden ayudar:

hf 14a config -h
script run hf_mf_magicrevive -u

↑ Volver arriba

MIFARE Ultralight DirectWrite

Identificar

hf 14a info
...
[+] Capacidades mágicas : Gen 2 / CUID

Parece que hasta ahora todos los MFUL DW tienen una respuesta ATS en configuración de fábrica.

Comandos Mágicos

Emite tres comandos de escritura MFU regulares seguidos para escribir los primeros tres bloques.

Características

• UID: Solo versiones 7b
• ATQA: todas las tarjetas reproducen ATQA fijo
• SAK: todas las tarjetas reproducen SAK fijo
• BCC: algunas tarjetas reproducen ciegamente los bytes BCC0 del bloque0 y BCC1 del bloque2, algunas calculan BCC apropiado
• ATS: todas las tarjetas responden con un ATS

Comandos Proxmark3

hf mfu setuid -h

Equivalente: no uses hf mfu wrbl ya que necesitas escribir tres bloques seguidos, pero hazlo, con BCCx apropiado:

hf 14a raw -s -c -k a2 00 041122bf
hf 14a raw    -c -k a2 01 33445566
hf 14a raw    -c    a2 02 44480000

Comandos libnfc

nfc-mfultralight -h

Ver --uid y --full

Android (MTools)

MIFARE++ Ultralight

↑ Volver arriba

MIFARE Ultralight EV1 DirectWrite

Similar a MFUL DirectWrite

Identificar

hf 14a info
...
[+] Capacidades mágicas : Gen 2 / CUID

Características

• UID: Solo versiones 7b
• ATQA: todas las tarjetas reproducen ATQA fijo
• SAK: todas las tarjetas reproducen SAK fijo
• BCC: las tarjetas reproducen ciegamente los bytes BCC0 del bloque0 y BCC1 del bloque2, ¡cuidado!
• ATS: todas las tarjetas responden con un ATS

↑ Volver arriba

MIFARE Ultralight C Gen1A

Similar a MFUL Gen1A

↑ Volver arriba

MIFARE Ultralight C DirectWrite

Similar a MFUL DirectWrite

Identificar

hf 14a info
...
[+] Capacidades mágicas : Gen 2 / CUID

Características

• UID: Solo versiones 7b
• ATQA: todas las tarjetas reproducen ATQA fijo
• SAK: todas las tarjetas reproducen SAK fijo
• BCC: las tarjetas calculan BCC0 y BCC1 apropiados en anticolisión
• ATS: todas las tarjetas responden con un ATS

↑ Volver arriba

MIFARE Ultralight USCUID-UL

Estas tarjetas mágicas, como las MFC USCUIDs tienen una página de configuración de 16 bytes de largo, compuesta por 4 bloques de 4 bytes cada uno. Esto generalmente comienza con 0x85.

Características

• UID: 7 bytes
• ATQA: siempre leído del bloque oculto F6
• SAK: siempre leído del bloque oculto F6
• BCC: leído de los bloques 0-1 según especificación Ultralight
• ATS: Estos responden a una solicitud ATS con la página de configuración en modo de fábrica

Identificar

En estado de configuración de fábrica:

hf 14a info
...
[=] -------------------------- ATS --------------------------
[!] ATS puede estar corrupto. La longitud del ATS (18 bytes incl. 2 Bytes CRC) no coincide con TL
[+] ATS: 85 00 85 A0 00 00 0A A5 00 04 04 02 01 00 0F 03 [ 07 00 ]

Comandos Mágicos

• Despertar mágico (A: 00): 40(7), 43
• Despertar mágico (B: 85): 20(7), 23
• Lectura backdoor bloque principal y oculto: 30xx+crc
• Escritura backdoor bloque principal y oculto: A2xx[4 bytes datos]+crc
• Leer configuración: E050+crc
• Escribir configuración: E2[offset*4, 1b][datos, 4b]+crc

Variaciones Conocidas

Configuración de Fábrica	Nombre
850000A0 00000AC3 00040301 01000B03	UL-11
850000A0 00000A3C 00040301 01000E03	UL-21
850000A0 0A000A00 00000000 00000000	UL-C
850085A0 00000AA5 00040402 01000F03	NTAG213
850000A0 00000A5A 00040402 01001103	NTAG215
850000A0 00000AAA 00040402 01001303	NTAG216

↑ Volver arriba

NTAG

NTAG213 DirectWrite

Similar a MFUL DirectWrite

Identificar

hf 14a info
...
[+] Capacidades mágicas : Gen 2 / CUID

Características

• UID: Solo versiones 7b
• ATQA: todas las tarjetas reproducen ATQA fijo
• SAK: todas las tarjetas reproducen SAK fijo
• BCC: las tarjetas reproducen ciegamente los bytes BCC0 del bloque0 y BCC1 del bloque2, ¡cuidado!
• ATS: todas las tarjetas responden con un ATS

↑ Volver arriba

NTAG21x

Identificar

hf 14a info
...
[+] Capacidades mágicas : NTAG21x

Características

Emula completamente NTAG213, 213F, 215, 216, 216F

Emula parcialmente UL EV1 48k/128k, NTAG210, NTAG212, NTAGI2C 1K/2K, NTAGI2C 1K/2K PLUS

Atajo Anticol (CL1/3000): falla

Comandos Proxmark3

script run hf_mfu_magicwrite -h

Versión y Firma

No olvides configurar los bloques máximos de lectura/escritura:

hf 14a raw -s -c -t 1000 CF000000006BFB

Nota: 0xFB = 251

La información de Versión y Firma de Ultralight EV1 y NTAG se almacenan respectivamente en los bloques 250-251 y 242-249.

↑ Volver arriba

DESFire

"DESFire" APDU, UID 7b

Comandos Mágicos

Compatible con Android (MTools) - emite APDUs especiales

Características

• ATQA: 0344
• SAK: 20
• ATS: 0675338102005110 o 06757781028002F0

Solo imita anticolisión DESFire (pero ATS incorrecto), sin soporte DESFire adicional

Comandos Proxmark3

UID 04112233445566

hf 14a raw -s -c 0200ab00000704112233445566

o equivalentemente

hf 14a apdu -s 00ab00000704112233445566

↑ Volver arriba

"DESFire" APDU, UID 4b

Comandos Mágicos

Compatible con Android (MTools) - emite APDUs especiales

Características

• ATQA: 0008 (¡Esto es FM1208-9, NO DESFire!)
• SAK: 20
• ATS: 0675338102005110 o 06757781028002F0

Solo imita anticolisión DESFire (pero ATS incorrecto), sin soporte DESFire adicional

Comandos Proxmark3

UID 04112233445566

hf 14a raw -s -c 0200ab00000411223344

o equivalentemente

hf 14a apdu -s 00ab00000411223344

↑ Volver arriba

ISO14443B

Tarjeta CPU Tiananxin TCOS

Esta es una tarjeta vendida en Taobao para probar lectores. Compatible con ISO14443-4.

Identificar

hf 14a apdu -s 90B2900000 // Obtener versión del SO de la tarjeta
>>> 90 B2 90 00 00
<<< 54 43 4F 53 20 56 31 2E 34 2E 30 90 00 | TCOS V1.4.0..

Comandos Mágicos

Todos los comandos en APDU.

CL IN P1 P2 Lc Datos
90 F4 CC CC 01 [..1 ] // Cambiar protocolo usado              (1: ISO14443 [AA - tipo A, BB - tipo B])
90 F6 CC CC 01 [TA1 ] // Cambiar valor TA1 (velocidad de transferencia)
90 F8 CC CC 01 [..1 ] // Usar valor UID/PUPI aleatorio         (1: FF: estático, AB: aleatorio)
90 F8 DD DD 01 [..1 ] // Establecer longitud UID                    (1: bytes en UID (04, 07, 0A para 4, 7, 10 bytes respectivamente))
90 F8 EE EE 0B [... ] // Establecer valor UID/PUPI                (FF+ingrese valor UID aquí). Para borrar, use Lc=01; datos=00.
90 FA CC CC 01 [FSCI] // Establecer FSCI                          (1: valor 0-8)
90 FC CC CC 01 [SFGI] // Establecer SFGI (¡NO ESTABLECER MUY ALTO!)   (1: valor 0-E)
90 FE CC CC 01 [FWI ] // FWI (¡NO ESTABLECER POR DEBAJO DE 4!!!)   (valor 0-E)

↑ Volver arriba

ISO15693

ISO15693 Mágico

Comandos Proxmark3

Siempre establece un UID comenzando con E0.

hf 15 csetuid E011223344556677

o (ignorar errores):

script run hf_15_magic -u E004013344556677

↑ Volver arriba

Tarjetas Multi-Protocolo

Tarjeta Mágica Definitiva (UMC)

También conocida como tarjeta mágica definitiva, la característica más prominente es el modo sombra (GTU) y comandos backdoor protegidos por contraseña opcional.

Puede emular familias MIFARE Classic, Ultralight/NTAG, UID 14b y Datos de Aplicación.

Identificar

hf 14a info
[+] Capacidades mágicas : Gen 4 GTU

La tarjeta será identificada solo si la contraseña es la predeterminada. Uno puede identificar manualmente tal tarjeta si la contraseña sigue siendo la predeterminada, con el comando para obtener la configuración actual:

hf 14a raw -s -c -t 1000 CF00000000C6

Si la tarjeta es una Tarjeta Mágica Definitiva, devuelve 30 o 32 bytes.

Comandos Mágicos

Hay dos formas de programar esta tarjeta:

1. Usar los comandos raw designados por los ejemplos hf 14a.
2. Usar los comandos del script hf_mf_ultimatecard.lua. Este script no es completamente compatible con la nueva versión UMC.

Resumen de comandos raw especiales:

CF <contraseña> 32 <00-04>                           // Configurar modo sombra GTU
CF <contraseña> 34 <1b longitud><0-16b ATS>            // Configurar ATS
CF <contraseña> 35 <2b ATQA><1b SAK>                 // Configurar ATQA/SAK (intercambiar bytes ATQA)
CF <contraseña> 68 <00-02>                           // Configurar longitud UID
CF <contraseña> 69 <00-01>                           // (Des)Activar modo Ultralight
CF <contraseña> 6A <00-03>                           // Seleccionar modo Ultralight
CF <contraseña> 6B <1b>                              // Establecer sectores máximos de lectura/escritura Ultralight y M1
CF <contraseña> C6                                   // Volcar configuración
CF <contraseña> CC                                   // Información de versión, devuelve `00 00 00 [03 A0 (antiguo) / 06 A0 (nuevo) ]`
CF <contraseña> CD <1b número de bloque><16b datos del bloque> // Escritura backdoor bloque 16b
CF <contraseña> CE <1b número de bloque>                 // Lectura backdoor bloque 16b
CF <contraseña> CF <1b param>                        // (Des)Activar escritura directa al bloque 0
CF <contraseña> F0 <30b datos de configuración>          // Configurar todos los parámetros en un cmd
CF <contraseña> F1 <30b datos de configuración>          // Configurar todos los parámetros en un cmd y fusionar la configuración permanentemente
CF <contraseña> FE <4b nueva_contraseña>                 // cambiar contraseña

<contraseña> predeterminada: 00000000

Características

• UID: versiones 4b, 7b y 10b
• ATQA/SAK: cambiable
• BCC: calculado
• ATS: cambiable, puede ser deshabilitado
• Tipo de Tarjeta: cambiable
• Modo sombra: GTU
• Modo de contraseña backdoor

Comandos Proxmark3

# ver contenidos de la memoria de la etiqueta:
hf mf gview
# Leer un bloque específico vía comando backdoor:
hf mf ggetblk
# Escribir un bloque específico vía comando backdoor:
hf mf gsetblk
# Cargar volcado a la etiqueta:
hf mf gload
# Guardar volcado de la etiqueta:
hf mf gsave

Cambiar ATQA / SAK

hf 14a raw -s -c -t 1000 CF<contraseña>35<2b ATQA><1b SAK>

Ejemplo: ATQA 0044 SAK 28, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF0000000035440028

O (Nota que el script corregirá el ATQA correctamente)

script run hf_mf_ultimatecard -q 004428

Cambiar ATS

hf 14a raw -s -c -t 1000 CF<contraseña>34<1b longitud><0-16b ATS>

• <longitud>: byte de longitud ATS, establecer a 00 para deshabilitar ATS
• Cuando el bit 6 del SAK está establecido (ej. SAK=20 o 28), ATS debe estar activado
• El CRC del ATS se agregará automáticamente, no lo configure
• Longitud máxima del A TS: 16 bytes (+CRC)

Ejemplo: ATS a 0606757781028002F0, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000003406067577810280

O

script run hf_mf_ultimatecard -z 06067577810280

Establecer Longitud UID (4, 7, 10)

hf 14a raw -s -c -t 1000 CF<contraseña>68<1b param>

• <param>
  • 00: 4 bytes
  • 01: 7 bytes
  • 02: 10 bytes

Ejemplo: establecer longitud UID a 7 bytes, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000006801

Establecer UID 14443A

El UID se configura según el bloque0 con una escritura backdoor.

Ejemplo: preparando los primeros dos bloques:

hf 14a raw -s -c -t 1000 CF00000000CD00000102030405060708090A0B0C0D0E0F
hf 14a raw -s -c -t 1000 CF00000000CD01101112131415161718191A1B1C1D1E1F
hf 14a reader

Modo MFC UID 4b

⇒ UID 00010203

script run hf_mf_ultimatecard -t 4 -u 00010203

Modo MFC UID 7b

⇒ UID 00010203040506

script run hf_mf_ultimatecard -t 5 -u 00010203040506

Modo MFC, UID 10b

⇒ UID 00010203040506070809

script run hf_mf_ultimatecard -t 6 -u 00010203040506070809

(Des)Activar Modo Ultralight

hf 14a raw -s -c -t 1000 CF<contraseña>69<1b param>

• <param>
  • 00: modo MIFARE Classic
  • 01: modo MIFARE Ultralight/NTAG

Ejemplo: activar protocolo Ultralight, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000006901

O

script run hf_mf_ultimatecard -n 01

En este modo, si SAK=00 y ATQA=0044, actúa como una tarjeta Ultralight

Seleccionar Modo Ultralight

hf 14a raw -s -c -t 1000 CF<contraseña>6A<1b param>

• <param>
  • 00: UL EV1
  • 01: NTAG
  • 02: UL-C
  • 03: UL

Ejemplo: establecer modo Ultralight a Ultralight-C, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF000000006A02

O

script run hf_mf_ultimatecard -m 02

Ahora la tarjeta soporta la autenticación 3DES UL-C.

Establecer Modo Sombra (GTU)

hf 14a raw -s -c -t 1000 CF<contraseña>32<1b param>

• <param>
  • 00: pre-escritura, los datos sombra pueden ser escritos
  • 01: modo restaurar (ADVERTENCIA: las nuevas tarjetas UMC (06a0) devuelven datos basura cuando usan 01)
  • 02: deshabilitado
  • 03: deshabilitado, ¿modo R/W de alta velocidad para Ultralight?
  • 04: modo dividido, funciona con nueva UMC. Con UMC antigua no está probado.

Lectura y Escritura Directa de Bloques

Usando el comando backdoor, uno puede leer y escribir cualquier área sin contraseña MFC, similar a la tarjeta MFC Gen1.

Lectura backdoor bloque 16b:

hf 14a raw -s -c -t 1000 CF<contraseña>CE<1b número de bloque>

Escritura backdoor bloque 16b:

hf 14a raw -s -c -t 1000 CF<contraseña>CD<1b número de bloque><16b datos del bloque>

Las operaciones de Lectura/Escritura funcionan en 16 bytes, sin importar el modo Ultralight.

Ejemplo: leer bloque0, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF00000000CE00

Ejemplo: escribir bloque0 con datos de fábrica, contraseña predeterminada

hf 14a raw -s -c -t 1000 CF00000000CD00112233441C000011778185BA18000000

(Des)Activar Escritura Directa al Bloque 0

Este comando habilita/deshabilita escrituras directas al bloque 0.

hf 14a raw -s -c -t 1000 CF<contraseña>CF<1b param>

• <param>
  • 00: Activar escritura directa al bloque 0 (Mismo comportamiento de tarjetas Gen2. Algunos lectores pueden identificar la tarjeta como mágica)
  • 01: Desactivar escritura directa al bloque 0 (Mismo comportamiento de tarjetas vanilla)
  • 02: Valor predeterminado. (¿Mismo comportamiento que 00 (?))

Cambiar Contraseña Backdoor

Todas las operaciones backdoor están protegidas por una contraseña. Si la contraseña se olvida, no puede ser recuperada. La contraseña predeterminada es 00000000.

Cambiar contraseña:

hf 14a raw -s -c -t 1000 CF <contraseña> FE <4b nueva_contraseña>

Ejemplo: cambiar contraseña de 00000000 a AABBCCDD

hf 14a raw -s -c -t 1000 CF00000000FEAABBCCDD

Volcar Configuración

hf 14a raw -s -c -t 1000 CF<contraseña>C6

Configuración predeterminada:

00000000000002000978009102DABC191010111213141516040008006B024F6B
                                                            ^^^^ CRC, tipo desconocido
                                                          ^^ cf cmd cf: configuración de escritura directa bloque0
                                                        ^^ cf cmd 6b: sectores máximos de lectura/escritura
                                                      ^^ cf cmd 6a: modo UL
                                                ^^^^^^ cf cmd 35: ATQA/SAK
              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ cf cmd 34: longitud y contenido ATS
            ^^ cf cmd 32: modo GTU
    ^^^^^^^^ cf cmd fe: contraseña
  ^^ cf cmd 68: longitud UID
^^ cf cmd 69: protocolo Ultralight

Configuración Rápida

hf 14a raw -s -c -t 1000 CF<contraseña>F0<30b datos de configuración>

Ver Volcar configuración para descripción de datos de configuración.

Ejemplo: Escribir configuración de fábrica, usando contraseña predeterminada

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC191010111213141516040008004F6B

Preajustes

Aquí hay algunos preajustes disponibles en FuseTool (pero con todos los ATS deshabilitados)

MIFARE Mini S20 UID 4 bytes

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000900

MIFARE Mini S20 UID 7 bytes

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000900

MIFARE 1k S50 UID 4 bytes (esta es la configuración de fábrica)

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000800

MIFARE 1k S50 UID 7 bytes

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000800

MIFARE 4k S70 UID 4 bytes

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151602001800

MIFARE 4k S70 UID 7 bytes

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151642001800

Ultralight

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000003FB

Ultralight-C

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000002FB

Ultralight EV1

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000000FB

NTAG21x

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000001FB

↑ Volver arriba