Connaître ses cartes magiques

Histoire des Cartes Magiques

Au commencement il y avait la carte MIFARE CLASSIC® 1K.
Comparée aux étiquettes 125KHz de l'époque, qui émettaient simplement une chaîne de données, la MIFARE CLASSIC® 1K était une carte avancée.

Chaque carte individuelle avait un ID Unique individuel. Ces blocs UID étaient gérés entre les fabricants pour s'assurer qu'aucune deux cartes n'aient jamais le même UID.

La MIFARE CLASSIC® 1K comportait également une pluralité de secteurs de données, de listes de contrôle d'accès et de clés.

Au fur et à mesure que la MIFARE CLASSIC® 1K devenait plus populaire, de nombreuses entreprises et solutions de contrôle d'accès ont commencé à utiliser l'UID comme fonction de sécurité - en s'appuyant sur l'UID pour authentifier les cartes, les utilisateurs, les achats et plus encore.

Le système de chiffrement de la MIFARE CLASSIC® 1K, combiné à un mauvais Générateur de Nombres Pseudo-Aléatoires (PRNG) ont été crackés - signifiant maintenant que les cartes pouvaient être crackées et dumpées.

À peu près au même moment, des entreprises chinoises, notamment FUDAN, ont commencé à créer des puces 'Compatibles' - et certaines de ces puces ont développé des capacités spéciales, voire... magiques... incluant la falsification de l'UID sacré.

Les générations originales de puces Compatibles / Magiques MIFARE CLASSIC® nécessitaient une séquence spéciale pour 'Déverrouiller' le badge. Une fois déverrouillé - toute la carte, y compris les sections UID et ACL pouvaient être lues et écrites.

Le code de déverrouillage, 0x43 / 0x40 est devenu si bien connu - que de nombreux systèmes de lecteurs de cartes interrogeaient ce code sur tous les badges. Si une étiquette répondait - elle était considérée comme une carte clone, et refusée.

En réponse, les cartes "Magiques" ont développé d'autres capacités - certaines permettaient l'"Écriture Directe" n'importe où sur la carte, sans codes de déverrouillage - et d'autres permettaient de changer l'UID une seule fois.

À chaque itération, les puces sont également devenues de plus en plus stables, et pouvaient également émuler de plus en plus de types de badges.

Aujourd'hui - les cartes "Magiques" les plus modernes peuvent supporter pas mal d'abus de l'utilisateur (écrire des valeurs incorrectes, corrompre les secteurs du fabricant, etc.) - mais doivent en général être traitées avec soin - pour ne pas les 'briquer'.

Récemment, la "Carte Magique Ultime" a été lancée. Également connue sous le nom de "Gen 4", cette carte est un émulateur de cartes 13,56MHz hautement configurable.

Elle peut émuler nativement les étiquettes NTAG / MIFARE / Ultralight (et toutes leurs variations), prend en charge le contrôle complet des valeurs ATQA/SAK/ATS, UID et longueur UID (4, 7 et 10 octets) et dispose de fonctionnalités avancées incluant le Mode de Récupération, le Mode Ombre et le Calcul automatique du BCC.

↑ Retour en haut

Aide-Mémoire des Cartes Magiques Communes

Bien qu'il existe maintenant littéralement des centaines de types de cartes magiques dans la nature, pour les besoins du clonage de cartes, les cartes magiques suivantes sont les cartes/puces les plus couramment disponibles, les plus supportées et les plus compatibles disponibles.

Cartes Magiques MIFARE Classic

Cartes Magiques Avancées

↑ Retour en haut

Cartes Basse Fréquence

T55xx

Le temic T55xx/Atmel ATA5577 est la puce la plus couramment utilisée pour cloner les RFID LF.

Caractéristiques

• 28/24 octets de mémoire utilisateur (sans/avec mot de passe)
• Paramètres de sortie universels (débit de données, modulation, etc.)
• Protection par mot de passe (4 octets), généralement "19920427"
• Bits de verrouillage par page
• Configuration du frontend analogique
• Autres noms :
  • 5577
  • 5200 (CN) - Version réduite de la puce T55xx
  • H2 (RU) - Semble être une puce 5200 renommée
  • RW125T5 (RU)

Détecter

[usb] pm3 --> lf search
...
[+] Détection de puce : T55xx

↑ Retour en haut

EM4x05

Les puces EM4305 et EM4205 (et 4469/4569) sont les 2èmes puces les plus couramment utilisées pour cloner les RFID LF. Elle est également utilisée par HID Global (mais avec une puce personnalisée) pour les identifiants HIDProx.

Caractéristiques

• 36 octets de mémoire utilisateur
• Les paramètres de sortie sont limités (ASK uniquement, FSK ajouté sur la variante HID)
• Protection par mot de passe (4 octets), généralement "84AC15E2"
• Page de verrouillage utilisée
• Autres noms :
  • H3 (RU)
  • RW125EM (RU)

Détecter

[usb] pm3 --> lf search
...
[+] Détection de puce : EM4x05 / EM4x69

↑ Retour en haut

Série ID82xx

Ce sont des puces chinoises personnalisées principalement utilisées pour cloner les ID EM. Souvent, ce sont des clones redessinés de puces Hitag.

ID8265

C'est la puce ID82xx la moins chère et la plus courante disponible. Elle est généralement vendue comme T55xx sur AliExpress, avec des excuses pour utiliser des cloneurs.

Caractéristiques :

• La puce est probablement une version réduite du clone Hitag µ (micro)
• UID 00 00 00 00 00 00
• Protection par mot de passe (4b), généralement "00000000"(par défaut) ou "9AC4999C"(FURUI)
• Bloc de configuration 0xFF
• Actuellement non implémenté dans le client proxmark3
• Autres noms : ID8210 (CN), H-125 (CN), H5 (RU)

ID8211

C'est une variante "améliorée" des puces ID82xx, contournant certaines détections magiques en Chine.

Caractéristiques :

• La puce est probablement une version réduite du clone Hitag S2048
• Pas de protection par mot de passe
• Page 1 entièrement modifiable, par défaut : CA 24 00 00
• Les pages 41-43 contiennent des données inconnues en lecture seule
• Pages 44-63 en lecture seule à 00 00 00 00

ID-F8268

C'est une variante "améliorée" des puces ID82xx, contournant certaines détections magiques en Chine.

Caractéristiques :

• La puce est probablement une version réduite du clone Hitag S2048
• Protection par mot de passe (4b), généralement "BBDD3399"(par défaut) ou "AAAAAAAA"
• Page 1 entièrement modifiable, par défaut : DA A4 00 00
• Autres noms : F8278 (CN), F8310 (CN), K8678 fabriqué par Hyctec

↑ Retour en haut

Série H

Ce sont des puces vendues en Russie, fabriquées par iKey LLC. Souvent, elles sont personnalisées.

H1

Puce de clonage d'ID EM la plus simple disponible. Officiellement abandonnée.

Caractéristiques :

• Actuellement, presque toute la structure est inconnue
• Pas de verrouillage ou de protection par mot de passe
• La puce "OTP" est la même puce, mais avec un ID EM de zéros. Verrouillée après la première écriture
• Autres noms : RW64bit, RW125FL

H5.5 / H7

Première puce personnalisée "avancée" avec la dénomination H.

Caractéristiques :

• Actuellement, toute la structure est inconnue
• Pas de protection par mot de passe
• Uniquement pris en charge par les cloneurs russes "TMD"/"RFD"
• H7 est annoncé pour fonctionner avec le contrôle d'accès "Stroymaster"
• Définir l'ID à "3F0096F87E" fera apparaître la puce comme T55xx

↑ Retour en haut

Cartes ISO14443A

Identification des Cartes Magiques ISO14443A Cassées

Lorsque la configuration d'une carte magique est vraiment désordonnée et que la carte n'est pas étiquetée, il peut être difficile de savoir de quel type de carte il s'agit.

Voici quelques conseils si la carte ne réagit pas ou donne une erreur sur un simple hf 14a reader :

Forçons une anticollision UID 4b et voyons ce qui se passe :

hf 14a config --atqa force --bcc ignore --cl2 skip --rats skip
hf 14a reader

Si elle répond, nous savons que c'est une carte TypeA. Mais peut-être que c'est un UID 7b, alors forçons une anticollision UID 7b :

hf 14a config --atqa force --bcc ignore --cl2 force --cl3 skip --rats skip
hf 14a reader

À ce stade, vous savez si c'est une carte TypeA 4b ou 7b et vous pouvez vérifier plus loin sur cette page comment reconfigurer différents types de cartes.

Pour restaurer la configuration d'anticollision du Proxmark3 :

hf 14a config --std

↑ Retour en haut

MIFARE Classic

Désigné comme M1, S50 (1k), S70 (4k)

MIFARE Classic Bloc 0

UID 4b : (en fait NUID car il n'y a plus d'ID "uniques" sur 4b)

11223344440804006263646566676869
^^^^^^^^                         UID
        ^^                       BCC
          ^^                     SAK(*)
            ^^^^                 ATQA
                ^^^^^^^^^^^^^^^^ Données du fabricant

(*) certaines cartes ont un SAK différent dans leur anticollision et dans le bloc0 : +0x80 dans le bloc0 (par ex. 08->88, 18->98)

Calcul du BCC sur UID 11223344 : analyse lrc -d 11223344 = bf

UID 7b :

04112233445566884400c82000000000
^^                               Octet du fabricant
^^^^^^^^^^^^^^                   UID
              ^^                 SAK(*)
                ^^^^             ATQA
                    ^^^^^^^^^^^^ Données du fabricant

(*) toutes ? les cartes ont un SAK différent dans leur anticollision et dans le bloc0 : +0x80 dans le bloc0 (par ex. 08->88, 18->98)

↑ Retour en haut

MIFARE Classic Gen1A (alias UID)

Autres noms : ZERO (RU)

Identifier

hf mf info
...
[+] Capacités magiques... Gen 1a

Commandes Magiques

• Effacer : 40(7), 41 (utiliser un délai de 2000ms)
• Lire : 40(7), 43, 30xx+crc
• Écrire : 40(7), 43, A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

Caractéristiques

• UID : Versions 4b uniquement
• ATQA : toutes les cartes jouent aveuglément les octets ATQA du bloc0, attention !
• SAK : le comportement varie selon la saveur
• BCC : toutes les cartes jouent aveuglément l'octet BCC du bloc0, attention !
• ATS : aucune carte avec ATS

Saveurs

Saveur	SAK	PRNG	Effacer
1	Joue aveuglément le SAK du bloc0	statique 01200145	rempli avec 0xFF
2	Joue aveuglément le SAK du bloc0	statique 01200145	rempli avec 0x00
3	08	statique 01200145	rempli avec 0xFF
4	08	faible	délai dépassé, pas d'effacement
5	08	faible	répond ok mais pas d'effacement
6	08 ou 88 si le MSB du SAK du bloc0 est défini	faible	délai dépassé, pas d'effacement
7	08 ou 88 si le MSB du SAK du bloc0 est défini	faible	rempli avec 0x00

Commandes Proxmark3

hf mf csetuid
hf mf cwipe
hf mf csetblk
hf mf cgetblk
hf mf cgetsc
hf mf cload
hf mf csave
hf mf cview

Lorsqu'elle est "soft-briquée" (en écrivant des données invalides dans le bloc0), celles-ci peuvent aider :

# MFC Gen1A 1k :
hf mf cwipe -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k :
hf mf cwipe -u 11223344 -a 0044 -s 18

ou simplement réparer le bloc0 :

# MFC Gen1A 1k :
hf mf csetuid -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k :
hf mf csetuid -u 11223344 -a 0044 -s 18

↑ Retour en haut

MIFARE Classic Gen1B

Similaire à Gen1A, mais prend en charge la lecture/écriture directe après la commande 40

Identifier

hf mf info
...
[+] Capacités magiques... Gen 1b

Commandes Magiques

• Lire : 40(7), 30xx
• Écrire : 40(7), A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

↑ Retour en haut

MIFARE Classic DirectWrite (Gen2 / CUID)

Également désigné comme compatible MCT par certains vendeurs

Autres noms : MF-8 (RU), MF-3 (RU), MF-3.2 (RU)

Identifier

hf mf info
...
[+] Capacités magiques... Gen 2 / CUID

Commandes Magiques

Compatible Android (MTools) - émettre une écriture régulière vers le bloc0

Caractéristiques

• UID : versions 4b et 7b
• ATQA : certaines cartes jouent aveuglément les octets ATQA du bloc0, certaines utilisent un ATQA fixe
• SAK : certaines cartes jouent aveuglément l'octet SAK du bloc0, certaines utilisent un SAK fixe
• BCC : certaines cartes jouent aveuglément l'octet BCC du bloc0, certaines calculent un BCC approprié
• ATS : certaines cartes ne répondent pas aux RATS, certaines répondent avec un ATS

Commandes Proxmark3

hf mf wrbl --blk 0 -k FFFFFFFFFFFF -d 11223344440804006263646566676869 --force

hf mf wipe --gen2

Lorsqu'elle est "soft-briquée", utilisez hf 14a config pour forcer les paramètres ATQA/BCC.

↑ Retour en haut

MIFARE Classic Gen3 (APDU)

Identifier

hf mf info
...
[+] Capacités magiques... Gen 3 / APDU ( possiblement )

Commandes Magiques

Compatible Android (MTools) - émettre des APDU spéciaux

cla  ins p1  p2  len
 90  F0  CC  CC  10 <bloc0>  - écrire bloc 0
 90  FB  CC  CC  07 <uid>     - changer uid (indépendamment des données du bloc0)
 90  FD  11  11  00           - verrouiller définitivement

Caractéristiques

• UID : versions 4b et 7b
• ATQA/SAK : fixe
• BCC : auto
• ATS : aucun

Commandes Proxmark3

# changer uniquement l'UID :
hf mf gen3uid
# écrire bloc0 :
hf mf gen3blk
# verrouiller (uid/bloc0?) pour toujours :
hf mf gen3freeze

↑ Retour en haut

MIFARE Classic QL88

Étiquettes conçues pour être utilisées avec le dispositif de clonage "CopyKey X5". Ces cartes implémentent des fonctionnalités personnalisées comme une forme de DRM rudimentaire (Gestion des Droits Numériques) pour empêcher le CopyKey de fonctionner avec d'autres étiquettes vierges. Fabriquées par QinLin neighbor technology, ces cartes sont nommées d'après leur valeur SAK distinctive de 88 dans le Bloc 0.

Identifier

hf mf info
...
[=] --- Information PRNG
[+] Prng................. dur

Caractéristiques

• UID : versions 4b
• ATQA/SAK : valeur SAK de 88 stockée dans le Bloc 0 (non utilisée pendant l'anticollision)
• BCC : calculé
• ATS : aucun
• PRNG : dur
• Signature : Contient des données de signature dans le Secteur 17
• Clés Personnalisées : Le Secteur 17 utilise une Clé A personnalisée (0x2612C6DE84CA) et une Clé B (0x707B11FC1481)
• Données du Fabricant : Le Bloc 0 contient toujours 88980020 000000F8
• Secteur 16 : Entièrement inscriptible par l'utilisateur

Commandes Proxmark3

# Lire le Secteur 17 avec des clés personnalisées :
hf mf rdsc --sec 17 -a 2612C6DE84CA -b 707B11FC1481

# Vérifier les données du fabricant dans le Bloc 0 :
hf mf rdbl --blk 0 -k FFFFFFFFFFFF

↑ Retour en haut

MIFARE Classic HUID

Une variation de l'étiquette QL88 qui semble utiliser une Fonction de Dérivation de Clé (KDF) personnalisée pour la génération de clés. Malgré le mécanisme de clé personnalisé, la structure et le comportement sous-jacents restent similaires aux cartes QL88. L'analyse suggère qu'il s'agit essentiellement d'étiquettes CUID avec des clés personnalisées appliquées.

Caractéristiques

• UID : versions 4b
• Génération de Clés : Utilise KDF personnalisé (Fonction de Dérivation de Clé)
• Type de Base : Semble être une étiquette CUID avec des clés personnalisées
• Compatibilité : Même structure de clés que QL88

↑ Retour en haut

MIFARE Classic USCUID

Ces cartes magiques ont une page de configuration de 16 octets de long, qui commence généralement par 0x85. Toutes les étiquettes connues utilisant cette configuration sont répertoriées ici.

Caractéristiques

• UID : 4/7 octets
• ATQA : toujours lu depuis le bloc 0
• SAK : lu depuis la porte dérobée ou la configuration
• BCC : lu depuis la mémoire, attention !
• ATS : non/inconnu

Identifier

hf mf info
...
[+] Capacités magiques... Gen 4 GDM / USCUID ( Magic Auth/Gen1 Magic Wakeup/Alt Magic Wakeup )

Commandes Magiques

• Authentification magique : sélectionner, 8000+crc, [Crypto1 Auth : 000000000000]
• Réveil magique (A : 00) : 40(7), 43
• Réveil magique (B : 85) : 20(7), 23
• Lecture porte dérobée : 38xx+crc
• Écriture porte dérobée : A8xx+crc, [16 octets de données]+crc
• Lire la configuration : E000+crc
• Écrire la configuration : E100+crc, [16 octets de données]+crc

Guide de Configuration USCUID

Format de configuration :

85000000000000000000000000000008
      ^^^^^^    ^^          ^^   >> ??? Mystère ???
^^^^                             >> Mode Gen1a (fonctionne avec bitflip)
    ^^                           >> Commande de réveil magique (00 pour 40-43 ; 85 pour 20-23)
            ^^                   >> Bloquer l'utilisation de la Clé B si lisible par ACL
              ^^                 >> Mode CUID
                  ^^             >> Configuration MFC EV1 CL2 Perso
                    ^^           >> Mode ombre
                      ^^         >> Commande Magic Auth
                        ^^       >> Mode nonce chiffré statique
                          ^^     >> Secteur de signature
                              ^^ >> SAK

Pour activer une option, définissez-la sur 5A.

Commandes Proxmark3

# Lire le bloc de configuration depuis la carte
hf mf gdmcfg

# Écrire le bloc de configuration sur la carte
hf mf gdmsetcfg

# Analyser le bloc de configuration sur la carte
hf mf gdmparsecfg

# Écrire un bloc sur la carte
hf mf gdmsetblk

Variations Connues

Configuration d'Usine	Nom
850000000000000000005A5A00000008	GDM
850000000000005A00FF005A00000008	GDCUID
850000000000005A0000005A5A5A0008	UCUID
8500000000005A00005A005A005A0008	"7 octets dur"
7AFF850102015A00005A005A005A0008	M1-7B
7AFF85000000000000FF000000000008	FUID
7AFF000000000000BAFA358500000008*	PFUID
7AFF000000000000BAFA000000000008	UFUID
7AFF0000000000000000000000000008	ZUID

*Toutes les étiquettes ne sont pas identiques ! UFUID, ZUID et PFUID ne sont pas des implémentations complètes d'USCUID.

↑ Retour en haut

MIFARE Classic Super

Elle se comporte comme une Mifare Classic régulière mais enregistre les tentatives d'authentification du lecteur.

MIFARE Classic Super Gen1

Ancien type de cartes, difficile à obtenir. Elles sont DirectWrite, l'UID peut être modifié via le bloc 0 ou les commandes de porte dérobée.

• UID : version 4b
• ATQA/SAK : fixe
• BCC : auto
• ATS : fixe, 0978009102DABC1910F005

ATQA/SAK correspond à une carte 1k, mais fonctionne comme une carte 4k.

MIFARE Classic Super Gen2

Nouvelle génération de cartes, basée sur une puce Gen4 limitée. Émule le protocole de porte dérobée Gen1, mais peut stocker jusqu'à 7 traces différentes.

La carte répond toujours ff ff ff ff comme at, donc la lecture/écriture via le protocole Mifare est impossible.

• UID : versions 4b et 7b
• ATQA/SAK : fixe
• BCC : auto
• ATS : modifiable, par défaut comme Gen1

Identifier

hf mf info
...
[+] Capacités magiques... Super card ( Gen ? )

Commandes Proxmark3

hf mf supercard

↑ Retour en haut

MIFARE Ultralight

MIFARE Ultralight Blocs 0..2

SN0  SN1  SN2  BCC0
SN3  SN4  SN5  SN6
BCC1 Int  LCK0 LCK1

L'UID est composé des octets SN0..SN6

Calcul du BCC0 sur UID 04112233445566 : analyse lrc -d 88041122 = bf

Calcul du BCC1 sur UID 04112233445566 : analyse lrc -d 33445566 = 44

Int est interne, typiquement 0x48

Le raccourci Anticol (CL1/3000) est pris en charge pour UL, ULC, NTAG sauf NTAG I2C

↑ Retour en haut

MIFARE Ultralight Gen1A

Commandes Proxmark3

script run hf_mfu_setuid -h

Lorsqu'elle est "soft-briquée" (en écrivant des données invalides dans le bloc0), celles-ci peuvent aider :

hf 14a config -h
script run hf_mf_magicrevive -u

↑ Retour en haut

MIFARE Ultralight DirectWrite

Identifier

hf 14a info
...
[+] Capacités magiques : Gen 2 / CUID

Il semble que jusqu'à présent tous les MFUL DW aient une réponse ATS en configuration d'usine.

Commandes Magiques

Émettre trois commandes d'écriture MFU régulières d'affilée pour écrire les trois premiers blocs.

Caractéristiques

• UID : Versions 7b uniquement
• ATQA : toutes les cartes jouent un ATQA fixe
• SAK : toutes les cartes jouent un SAK fixe
• BCC : certaines cartes jouent aveuglément les octets BCC0 du bloc0 et BCC1 du bloc2, certaines calculent un BCC approprié
• ATS : toutes les cartes répondent avec un ATS

Commandes Proxmark3

hf mfu setuid -h

Équivalent : n'utilisez pas hf mfu wrbl car vous devez écrire trois blocs d'affilée, mais faites-le, avec les BCCx appropriés :

hf 14a raw -s -c -k a2 00 041122bf
hf 14a raw    -c -k a2 01 33445566
hf 14a raw    -c    a2 02 44480000

Commandes libnfc

nfc-mfultralight -h

Voir --uid et --full

Android (MTools)

MIFARE++ Ultralight

↑ Retour en haut

MIFARE Ultralight EV1 DirectWrite

Similaire à MFUL DirectWrite

Identifier

hf 14a info
...
[+] Capacités magiques : Gen 2 / CUID

Caractéristiques

• UID : Versions 7b uniquement
• ATQA : toutes les cartes jouent un ATQA fixe
• SAK : toutes les cartes jouent un SAK fixe
• BCC : les cartes jouent aveuglément les octets BCC0 du bloc0 et BCC1 du bloc2, attention !
• ATS : toutes les cartes répondent avec un ATS

↑ Retour en haut

MIFARE Ultralight C Gen1A

Similaire à MFUL Gen1A

↑ Retour en haut

MIFARE Ultralight C DirectWrite

Similaire à MFUL DirectWrite

Identifier

hf 14a info
...
[+] Capacités magiques : Gen 2 / CUID

Caractéristiques

• UID : Versions 7b uniquement
• ATQA : toutes les cartes jouent un ATQA fixe
• SAK : toutes les cartes jouent un SAK fixe
• BCC : les cartes calculent les BCC0 et BCC1 appropriés en anticollision
• ATS : toutes les cartes répondent avec un ATS

↑ Retour en haut

MIFARE Ultralight USCUID-UL

Ces cartes magiques, comme les MFC USCUIDs ont une page de configuration de 16 octets de long, composée de 4 blocs de 4 octets chacun. Cela commence généralement par 0x85.

Caractéristiques

• UID : 7 octets
• ATQA : toujours lu depuis le bloc caché F6
• SAK : toujours lu depuis le bloc caché F6
• BCC : lu depuis les blocs 0-1 selon la spécification Ultralight
• ATS : Ceux-ci répondent à une demande ATS avec la page de configuration en mode usine

Identifier

En état de configuration d'usine :

hf 14a info
...
[=] -------------------------- ATS --------------------------
[!] L'ATS peut être corrompu. La longueur de l'ATS (18 octets incl. 2 octets CRC) ne correspond pas à TL
[+] ATS : 85 00 85 A0 00 00 0A A5 00 04 04 02 01 00 0F 03 [ 07 00 ]

Commandes Magiques

• Réveil magique (A : 00) : 40(7), 43
• Réveil magique (B : 85) : 20(7), 23
• Lecture porte dérobée bloc principal et caché : 30xx+crc
• Écriture porte dérobée bloc principal et caché : A2xx[4 octets de données]+crc
• Lire la configuration : E050+crc
• Écrire la configuration : E2[offset*4, 1b][données, 4b]+crc

Variations Connues

Configuration d'Usine	Nom
850000A0 00000AC3 00040301 01000B03	UL-11
850000A0 00000A3C 00040301 01000E03	UL-21
850000A0 0A000A00 00000000 00000000	UL-C
850085A0 00000AA5 00040402 01000F03	NTAG213
850000A0 00000A5A 00040402 01001103	NTAG215
850000A0 00000AAA 00040402 01001303	NTAG216

↑ Retour en haut

NTAG

NTAG213 DirectWrite

Similaire à MFUL DirectWrite

Identifier

hf 14a info
...
[+] Capacités magiques : Gen 2 / CUID

Caractéristiques

• UID : Versions 7b uniquement
• ATQA : toutes les cartes jouent un ATQA fixe
• SAK : toutes les cartes jouent un SAK fixe
• BCC : les cartes jouent aveuglément les octets BCC0 du bloc0 et BCC1 du bloc2, attention !
• ATS : toutes les cartes répondent avec un ATS

↑ Retour en haut

NTAG21x

Identifier

hf 14a info
...
[+] Capacités magiques : NTAG21x

Caractéristiques

Émule complètement NTAG213, 213F, 215, 216, 216F

Émule partiellement UL EV1 48k/128k, NTAG210, NTAG212, NTAGI2C 1K/2K, NTAGI2C 1K/2K PLUS

Raccourci Anticol (CL1/3000) : échoue

Commandes Proxmark3

script run hf_mfu_magicwrite -h

Version et Signature

N'oubliez pas de configurer les blocs maximum de lecture/écriture :

hf 14a raw -s -c -t 1000 CF000000006BFB

Note : 0xFB = 251

Les informations de Version et de Signature d'Ultralight EV1 et NTAG sont stockées respectivement dans les blocs 250-251 et 242-249.

↑ Retour en haut

DESFire

"DESFire" APDU, UID 7b

Commandes Magiques

Compatible Android (MTools) - émettre des APDU spéciaux

Caractéristiques

• ATQA : 0344
• SAK : 20
• ATS : 0675338102005110 ou 06757781028002F0

Imite uniquement l'anticollision DESFire (mais mauvais ATS), pas de support DESFire supplémentaire

Commandes Proxmark3

UID 04112233445566

hf 14a raw -s -c 0200ab00000704112233445566

ou de manière équivalente

hf 14a apdu -s 00ab00000704112233445566

↑ Retour en haut

"DESFire" APDU, UID 4b

Commandes Magiques

Compatible Android (MTools) - émettre des APDU spéciaux

Caractéristiques

• ATQA : 0008 (C'est FM1208-9, PAS DESFire !)
• SAK : 20
• ATS : 0675338102005110 ou 06757781028002F0

Imite uniquement l'anticollision DESFire (mais mauvais ATS), pas de support DESFire supplémentaire

Commandes Proxmark3

UID 04112233445566

hf 14a raw -s -c 0200ab00000411223344

ou de manière équivalente

hf 14a apdu -s 00ab00000411223344

↑ Retour en haut

ISO14443B

Carte CPU Tiananxin TCOS

C'est une carte vendue sur Taobao pour tester les lecteurs. Conforme à ISO14443-4.

Identifier

hf 14a apdu -s 90B2900000 // Obtenir la version du système d'exploitation de la carte
>>> 90 B2 90 00 00
<<< 54 43 4F 53 20 56 31 2E 34 2E 30 90 00 | TCOS V1.4.0..

Commandes Magiques

Toutes les commandes en APDU.

CL IN P1 P2 Lc Données
90 F4 CC CC 01 [..1 ] // Changer le protocole utilisé              (1 : ISO14443 [AA - type A, BB - type B])
90 F6 CC CC 01 [TA1 ] // Changer la valeur TA1 (vitesse de transfert)
90 F8 CC CC 01 [..1 ] // Utiliser une valeur UID/PUPI aléatoire         (1 : FF : statique, AB : aléatoire)
90 F8 DD DD 01 [..1 ] // Définir la longueur de l'UID                    (1 : octets dans l'UID (04, 07, 0A pour 4, 7, 10 octets respectivement))
90 F8 EE EE 0B [... ] // Définir la valeur UID/PUPI                (FF+entrer la valeur UID ici). Pour effacer, utilisez Lc=01 ; données=00.
90 FA CC CC 01 [FSCI] // Définir FSCI                          (1 : valeur 0-8)
90 FC CC CC 01 [SFGI] // Définir SFGI (NE PAS DÉFINIR TROP HAUT !)   (1 : valeur 0-E)
90 FE CC CC 01 [FWI ] // FWI (NE PAS DÉFINIR EN DESSOUS DE 4 !!!)   (valeur 0-E)

↑ Retour en haut

ISO15693

ISO15693 Magique

Commandes Proxmark3

Définissez toujours un UID commençant par E0.

hf 15 csetuid E011223344556677

ou (ignorer les erreurs) :

script run hf_15_magic -u E004013344556677

↑ Retour en haut

Cartes Multi-Protocoles

Carte Magique Ultime (UMC)

Alias carte magique ultime, la caractéristique la plus importante est le mode ombre (GTU) et les commandes de porte dérobée protégées par mot de passe optionnel.

Peut émuler les familles MIFARE Classic, Ultralight/NTAG, UID 14b et Données d'Application.

Identifier

hf 14a info
[+] Capacités magiques : Gen 4 GTU

La carte ne sera identifiée que si le mot de passe est celui par défaut. On peut identifier manuellement une telle carte si le mot de passe est toujours celui par défaut, avec la commande pour obtenir la configuration actuelle :

hf 14a raw -s -c -t 1000 CF00000000C6

Si la carte est une Carte Magique Ultime, elle renvoie 30 ou 32 octets.

Commandes Magiques

Il existe deux façons de programmer cette carte :

1. Utiliser les commandes brutes désignées par les exemples hf 14a.
2. Utiliser les commandes du script hf_mf_ultimatecard.lua. Ce script n'est pas entièrement compatible avec la nouvelle version UMC.

Résumé des commandes brutes spéciales :

CF <motdepasse> 32 <00-04>                           // Configurer le mode ombre GTU
CF <motdepasse> 34 <1b longueur><0-16b ATS>            // Configurer ATS
CF <motdepasse> 35 <2b ATQA><1b SAK>                 // Configurer ATQA/SAK (échanger les octets ATQA)
CF <motdepasse> 68 <00-02>                           // Configurer la longueur de l'UID
CF <motdepasse> 69 <00-01>                           // (Dés)Activer le mode Ultralight
CF <motdepasse> 6A <00-03>                           // Sélectionner le mode Ultralight
CF <motdepasse> 6B <1b>                              // Définir les secteurs maximum de lecture/écriture Ultralight et M1
CF <motdepasse> C6                                   // Vider la configuration
CF <motdepasse> CC                                   // Info version, renvoie `00 00 00 [03 A0 (ancien) / 06 A0 (nouveau) ]`
CF <motdepasse> CD <1b numéro de bloc><16b données du bloc> // Écriture porte dérobée bloc 16b
CF <motdepasse> CE <1b numéro de bloc>                 // Lecture porte dérobée bloc 16b
CF <motdepasse> CF <1b param>                        // (Dés)Activer l'écriture directe vers le bloc 0
CF <motdepasse> F0 <30b données de configuration>          // Configurer tous les paramètres en une cmd
CF <motdepasse> F1 <30b données de configuration>          // Configurer tous les paramètres en une cmd et fusionner la configuration de manière permanente
CF <motdepasse> FE <4b nouveau_motdepasse>                 // changer le mot de passe

<motdepasse> par défaut : 00000000

Caractéristiques

• UID : versions 4b, 7b et 10b
• ATQA/SAK : modifiable
• BCC : calculé
• ATS : modifiable, peut être désactivé
• Type de Carte : modifiable
• Mode ombre : GTU
• Mode mot de passe porte dérobée

Commandes Proxmark3

# voir le contenu de la mémoire de l'étiquette :
hf mf gview
# Lire un bloc spécifique via la commande porte dérobée :
hf mf ggetblk
# Écrire un bloc spécifique via la commande porte dérobée :
hf mf gsetblk
# Charger le vidage sur l'étiquette :
hf mf g load
# Sauvegarder le vidage depuis l'étiquette :
hf mf gsave

Changer ATQA / SAK

hf 14a raw -s -c -t 1000 CF<motdepasse>35<2b ATQA><1b SAK>

Exemple : ATQA 0044 SAK 28, mot de passe par défaut

hf 14a raw -s -c -t 1000 CF0000000035440028

OU (Notez que le script corrigera l'ATQA correctement)

script run hf_mf_ultimatecard -q 004428

Changer ATS

hf 14a raw -s -c -t 1000 CF<motdepasse>34<1b longueur><0-16b ATS>

• <longueur> : octet de longueur ATS, définir sur 00 pour désactiver l'ATS
• Lorsque le bit 6 du SAK est défini (par ex. SAK=20 ou 28), l'ATS doit être activé
• Le CRC de l'ATS sera ajouté automatiquement, ne le configurez pas
• Longueur max de l'ATS : 16 octets (+CRC)

Exemple : ATS à 0606757781028002F0, mot de passe par défaut

hf 14a raw -s -c -t 1000 CF000000003406067577810280

Ou

script run hf_mf_ultimatecard -z 06067577810280

Définir la Longueur de l'UID (4, 7, 10)

hf 14a raw -s -c -t 1000 CF<motdepasse>68<1b param>

• <param>
  • 00 : 4 octets
  • 01 : 7 octets
  • 02 : 10 octets

Exemple : définir la longueur de l'UID à 7 octets, mot de passe par défaut

hf 14a raw -s -c -t 1000 CF000000006801

Définir l'UID 14443A

L'UID est configuré selon le bloc0 avec une écriture porte dérobée.

Exemple : préparation des deux premiers blocs :

hf 14a raw -s -c -t 1000 CF00000000CD00000102030405060708090A0B0C0D0E0F
hf 14a raw -s -c -t 1000 CF00000000CD01101112131415161718191A1B1C1D1E1F
hf 14a reader

Mode MFC UID 4b

⇒ UID 00010203

script run hf_mf_ultimatecard -t 4 -u 00010203

Mode MFC UID 7b

⇒ UID 00010203040506

script run hf_mf_ultimatecard -t 5 -u 00010203040506

Mode MFC, UID 10b

⇒ UID 00010203040506070809

script run hf_mf_ultimatecard -t 6 -u 00010203040506070809

(Dés)Activer le Mode Ultralight

hf 14a raw -s -c -t 1000 CF<motdepasse>69<1b param>

• <param>
  • 00 : mode MIFARE Classic
  • 01 : mode MIFARE Ultralight/NTAG

Exemple : activer le protocole Ultralight, mot de passe par défaut

hf 14a raw -s -c -t 1000 CF000000006901

Ou

script run hf_mf_ultimatecard -n 01

Dans ce mode, si SAK=00 et ATQA=0044, elle agit comme une carte Ultralight

Sélectionner le Mode Ultralight

hf 14a raw -s -c -t 1000 CF<motdepasse>6A<1b param>

• <param>
  • 00 : UL EV1
  • 01 : NTAG
  • 02 : UL-C
  • 03 : UL

Exemple : définir le mode Ultralight sur Ultralight-C, mot de passe par défaut

hf 14a raw -s -c -t 1000 CF000000006A02

Ou

script run hf_mf_ultimatecard -m 02

Maintenant la carte prend en charge l'authentification 3DES UL-C.

Définir le Mode Ombre (GTU)

hf 14a raw -s -c -t 1000 CF<motdepasse>32<1b param>

• <param>
  • 00 : pré-écriture, les données ombre peuvent être écrites
  • 01 : mode de restauration (AVERTISSEMENT : les nouvelles cartes UMC (06a0) renvoient des données erronées lors de l'utilisation de 01)
  • 02 : désactivé
  • 03 : désactivé, mode R/W haute vitesse pour Ultralight ?
  • 04 : mode divisé, fonctionne avec la nouvelle UMC. Avec l'ancienne UMC n'est pas testé.

Lecture et Écriture Directe de Bloc

En utilisant la commande porte dérobée, on peut lire et écrire n'importe quelle zone sans mot de passe MFC, de manière similaire à la carte MFC Gen1.

Lecture porte dérobée bloc 16b :

hf 14a raw -s -c -t 1000 CF<motdepasse>CE<1b numéro de bloc>

Écriture porte dérobée bloc 16b :

hf 14a raw -s -c -t 1000 CF<motdepasse>CD<1b numéro de bloc><16b données du bloc>

Les opérations de Lecture/Écriture fonctionnent sur 16 octets, peu importe le mode Ultralight.

Exemple : lire le bloc0, mot de passe par défaut

hf 14a raw -s -c -t 1000 CF00000000CE00

Exemple : écrire le bloc0 avec les données d'usine, mot de passe par défaut

hf 14a raw -s -c -t 1000 CF00000000CD00112233441C000011778185BA18000000

(Dés)Activer l'Écriture Directe vers le Bloc 0

Cette commande active/désactive les écritures directes vers le bloc 0.

hf 14a raw -s -c -t 1000 CF<motdepasse>CF<1b param>

• <param>
  • 00 : Activer l'écriture directe vers le bloc 0 (Même comportement que les cartes Gen2. Certains lecteurs peuvent identifier la carte comme magique)
  • 01 : Désactiver l'écriture directe vers le bloc 0 (Même comportement que les cartes vanille)
  • 02 : Valeur par défaut. (Même comportement que 00 (?))

Changer le Mot de Passe Porte Dérobée

Toutes les opérations porte dérobée sont protégées par un mot de passe. Si le mot de passe est oublié, il ne peut pas être récupéré. Le mot de passe par défaut est 00000000.

Changer le mot de passe :

hf 14a raw -s -c -t 1000 CF <motdepasse> FE <4b nouveau_motdepasse>

Exemple : changer le mot de passe de 00000000 à AABBCCDD

hf 14a raw -s -c -t 1000 CF00000000FEAABBCCDD

Vider la Configuration

hf 14a raw -s -c -t 1000 CF<motdepasse>C6

Configuration par défaut :

00000000000002000978009102DABC191010111213141516040008006B024F6B
                                                            ^^^^ CRC, type inconnu
                                                          ^^ cf cmd cf : paramètre d'écriture directe bloc0
                                                        ^^ cf cmd 6b : secteurs maximum de lecture/écriture
                                                      ^^ cf cmd 6a : mode UL
                                                ^^^^^^ cf cmd 35 : ATQA/SAK
              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ cf cmd 34 : longueur et contenu ATS
            ^^ cf cmd 32 : mode GTU
    ^^^^^^^^ cf cmd fe : mot de passe
  ^^ cf cmd 68 : longueur UID
^^ cf cmd 69 : protocole Ultralight

Configuration Rapide

hf 14a raw -s -c -t 1000 CF<motdepasse>F0<30b données de configuration>

Voir Vider la configuration pour la description des données de configuration.

Exemple : Écrire la configuration d'usine, en utilisant le mot de passe par défaut

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC191010111213141516040008004F6B

Préréglages

Voici quelques préréglages disponibles dans FuseTool (mais avec tous les ATS désactivés)

MIFARE Mini S20 UID 4 octets

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000900

MIFARE Mini S20 UID 7 octets

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000900

MIFARE 1k S50 UID 4 octets (c'est le paramètre d'usine)

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000800

MIFARE 1k S50 UID 7 octets

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000800

MIFARE 4k S70 UID 4 octets

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151602001800

MIFARE 4k S70 UID 7 octets

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151642001800

Ultralight

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000003FB

Ultralight-C

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000002FB

Ultralight EV1

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000000FB

NTAG21x

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000001FB

↑ Retour en haut