Conoscere le proprie carte magiche

Storia delle Carte Magiche

All'inizio c'era la carta MIFARE CLASSIC® 1K.
Rispetto ai tag a 125KHz dell'epoca, che semplicemente emettevano una stringa di dati, la MIFARE CLASSIC® 1K era una carta avanzata.

Ogni singola carta aveva un ID Unico individuale. Questi blocchi UID erano gestiti tra i produttori per garantire che nessuna due carte avessero mai lo stesso UID.

La MIFARE CLASSIC® 1K presentava anche una pluralità di settori di dati, liste di controllo accessi e chiavi.

Man mano che la MIFARE CLASSIC® 1K diventava più popolare, molte aziende e soluzioni di controllo accessi iniziarono a utilizzare l'UID come funzione di sicurezza - affidandosi all'UID per autenticare carte, utenti, acquisti e altro.

Il sistema di cifratura della MIFARE CLASSIC® 1K, combinato con un povero Generatore di Numeri Pseudo-Casuali (PRNG) furono violati - ora significando che le carte potevano essere craccate e dumpate.

In un periodo simile, le aziende cinesi, in particolare FUDAN, iniziarono a creare chipset 'Compatibili' - e alcuni di questi chipset svilupparono abilità speciali, persino... magiche... inclusa la falsificazione del sacro UID.

Le generazioni originali di chip Compatibili / Magici MIFARE CLASSIC® richiedevano una sequenza speciale per 'Sbloccare' il badge. Una volta sbloccato - l'intera carta, incluse le sezioni UID e ACL potevano essere lette e scritte.

Il codice di sblocco, 0x43 / 0x40 divenne così ben noto - che molti sistemi di lettori di carte interrogavano questo codice su tutti i badge. Se un tag rispondeva - era considerato una carta clone, e rifiutato.

In risposta, le carte "Magiche" svilupparono altre abilità - alcune permettevano la "Scrittura Diretta" ovunque sulla carta, senza codici di sblocco - e altre permettevano di cambiare l'UID solo una volta.

Con ogni iterazione, i chipset diventarono anche sempre più stabili, e potevano anche emulare sempre più tipi di badge.

Oggi - le carte "Magiche" più moderne possono sopportare un bel po' di abusi dell'utente (scrivere valori errati, corrompere i settori del produttore, ecc.) - ma in generale dovrebbero essere trattate con cura - per non 'brickarle'.

Recentemente, è stata rilasciata la "Carta Magica Definitiva". Conosciuta anche come "Gen 4", questa carta è un emulatore di carte 13.56MHz altamente configurabile.

Può emulare nativamente tag NTAG / MIFARE / Ultralight (e tutte le loro variazioni), supporta il controllo completo sui valori ATQA/SAK/ATS, UID e lunghezza UID (4, 7 e 10 byte) e ha funzionalità avanzate incluse Modalità di Recupero, Modalità Ombra e Calcolo automatico BCC.

↑ Torna su

Foglio di Riferimento delle Carte Magiche Comuni

Sebbene ora esistano letteralmente centinaia di tipi di carte magiche in natura, per scopi di clonazione delle carte, le seguenti carte magiche sono le carte/chipset più comunemente disponibili, più supportate e più compatibili disponibili.

Carte Magiche MIFARE Classic

Carte Magiche Avanzate

↑ Torna su

Carte a Bassa Frequenza

T55xx

Il temic T55xx/Atmel ATA5577 è il chip più comunemente usato per clonare RFID LF.

Caratteristiche

• 28/24 byte di memoria utente (senza/con password)
• Impostazioni di output universali (velocità dati, modulazione, ecc.)
• Protezione con password (4 byte), solitamente "19920427"
• Bit di blocco per pagina
• Configurazione frontend analogico
• Altri nomi:
  • 5577
  • 5200 (CN) - Versione ridotta del chip T55xx
  • H2 (RU) - Sembra essere il chip 5200 rinominato
  • RW125T5 (RU)

Rilevamento

[usb] pm3 --> lf search
...
[+] Rilevamento chipset: T55xx

↑ Torna su

EM4x05

I chip EM4305 e EM4205 (e 4469/4569) sono i secondi chip più comuni usati per clonare RFID LF. È anche usato da HID Global (ma con un chip personalizzato) per le credenziali HIDProx.

Caratteristiche

• 36 byte di memoria utente
• Le impostazioni di output sono limitate (solo ASK, FSK aggiunto sulla variante HID)
• Protezione con password (4 byte), solitamente "84AC15E2"
• Pagina di blocco usata
• Altri nomi:
  • H3 (RU)
  • RW125EM (RU)

Rilevamento

[usb] pm3 --> lf search
...
[+] Rilevamento chipset: EM4x05 / EM4x69

↑ Torna su

Serie ID82xx

Questi sono chip cinesi personalizzati principalmente usati per clonare ID EM. Spesso, questi sono cloni ridisegnati di chip Hitag.

ID8265

Questo è il chip ID82xx più economico e comune disponibile. Di solito è venduto come T55xx su AliExpress, con scuse per usare clonatori.

Caratteristiche:

• Il chip è probabilmente una versione ridotta del clone Hitag µ (micro)
• UID 00 00 00 00 00 00
• Protezione con password (4b), solitamente "00000000"(predefinito) o "9AC4999C"(FURUI)
• Blocco di configurazione 0xFF
• Attualmente non implementato nel client proxmark3
• Altri nomi: ID8210 (CN), H-125 (CN), H5 (RU)

ID8211

Questa è una variante "migliorata" dei chip ID82xx, che bypassa alcune rilevazioni magiche in Cina.

Caratteristiche:

• Il chip è probabilmente una versione ridotta del clone Hitag S2048
• Nessuna protezione con password
• Pagina 1 completamente modificabile, predefinito: CA 24 00 00
• Le pagine 41-43 contengono dati sconosciuti di sola lettura
• Pagine 44-63 di sola lettura a 00 00 00 00

ID-F8268

Questa è una variante "migliorata" dei chip ID82xx, che bypassa alcune rilevazioni magiche in Cina.

Caratteristiche:

• Il chip è probabilmente una versione ridotta del clone Hitag S2048
• Protezione con password (4b), solitamente "BBDD3399"(predefinito) o "AAAAAAAA"
• Pagina 1 completamente modificabile, predefinito: DA A4 00 00
• Altri nomi: F8278 (CN), F8310 (CN), K8678 prodotto da Hyctec

↑ Torna su

Serie H

Questi sono chip venduti in Russia, prodotti da iKey LLC. Spesso questi sono personalizzati.

H1

Il chip di clonazione ID EM più semplice disponibile. Ufficialmente dismesso.

Caratteristiche:

• Attualmente quasi tutta la struttura è sconosciuta
• Nessun blocco o protezione con password
• Il chip "OTP" è lo stesso chip, ma con ID EM di zeri. Bloccato dopo la prima scrittura
• Altri nomi: RW64bit, RW125FL

H5.5 / H7

Primo chip personalizzato "avanzato" con denominazione H.

Caratteristiche:

• Attualmente tutta la struttura è sconosciuta
• Nessuna protezione con password
• Supportato solo dai clonatori russi "TMD"/"RFD"
• H7 è pubblicizzato per funzionare con il controllo accessi "Stroymaster"
• Impostare l'ID a "3F0096F87E" farà apparire il chip come T55xx

↑ Torna su

Carte ISO14443A

Identificazione di Carte Magiche ISO14443A Rotte

Quando la configurazione di una carta magica è davvero incasinata e la carta non è etichettata, può essere difficile capire di che tipo di carta si tratta.

Ecco alcuni suggerimenti se la carta non reagisce o dà errore su un semplice hf 14a reader:

Forziamo un'anticolisione UID 4b e vediamo cosa succede:

hf 14a config --atqa force --bcc ignore --cl2 skip --rats skip
hf 14a reader

Se risponde, sappiamo che è una carta TypeA. Ma forse è un UID 7b, quindi forziamo un'anticolisione UID 7b:

hf 14a config --atqa force --bcc ignore --cl2 force --cl3 skip --rats skip
hf 14a reader

A questo punto, sai se è una carta TypeA 4b o 7b e puoi controllare più avanti in questa pagina come riconfigurare diversi tipi di carte.

Per ripristinare la configurazione anticolisione del Proxmark3:

hf 14a config --std

↑ Torna su

MIFARE Classic

Indicato come M1, S50 (1k), S70 (4k)

MIFARE Classic Blocco 0

UID 4b: (in realtà NUID poiché non ci sono più ID "unici" su 4b)

11223344440804006263646566676869
^^^^^^^^                         UID
        ^^                       BCC
          ^^                     SAK(*)
            ^^^^                 ATQA
                ^^^^^^^^^^^^^^^^ Dati del produttore

(*) alcune carte hanno un SAK diverso nella loro anticolisione e nel blocco0: +0x80 nel blocco0 (es. 08->88, 18->98)

Calcolo BCC su UID 11223344: analyse lrc -d 11223344 = bf

UID 7b:

04112233445566884400c82000000000
^^                               Byte del produttore
^^^^^^^^^^^^^^                   UID
              ^^                 SAK(*)
                ^^^^             ATQA
                    ^^^^^^^^^^^^ Dati del produttore

(*) tutte? le carte hanno un SAK diverso nella loro anticolisione e nel blocco0: +0x80 nel blocco0 (es. 08->88, 18->98)

↑ Torna su

MIFARE Classic Gen1A (alias UID)

Altri nomi: ZERO (RU)

Identificare

hf mf info
...
[+] Capacità magiche... Gen 1a

Comandi Magici

• Cancella: 40(7), 41 (usa timeout 2000ms)
• Leggi: 40(7), 43, 30xx+crc
• Scrivi: 40(7), 43, A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

Caratteristiche

• UID: Solo versioni 4b
• ATQA: tutte le carte riproducono ciecamente i byte ATQA del blocco0, attenzione!
• SAK: il comportamento varia per variante
• BCC: tutte le carte riproducono ciecamente il byte BCC del blocco0, attenzione!
• ATS: nessuna carta con ATS

Varianti

Variante	SAK	PRNG	Cancella
1	Riproduce ciecamente il SAK del blocco0	statico 01200145	riempito con 0xFF
2	Riproduce ciecamente il SAK del blocco0	statico 01200145	riempito con 0x00
3	08	statico 01200145	riempito con 0xFF
4	08	debole	timeout, nessuna cancellazione
5	08	debole	risponde ok ma nessuna cancellazione
6	08 o 88 se MSB del SAK del blocco0 è impostato	debole	timeout, nessuna cancellazione
7	08 o 88 se MSB del SAK del blocco0 è impostato	debole	riempito con 0x00

Comandi Proxmark3

hf mf csetuid
hf mf cwipe
hf mf csetblk
hf mf cgetblk
hf mf cgetsc
hf mf cload
hf mf csave
hf mf cview

Quando "soft-brickato" (scrivendo dati non validi nel blocco0), questi possono aiutare:

# MFC Gen1A 1k:
hf mf cwipe -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k:
hf mf cwipe -u 11223344 -a 0044 -s 18

o semplicemente riparando il blocco0:

# MFC Gen1A 1k:
hf mf csetuid -u 11223344 -a 0004 -s 08
# MFC Gen1A 4k:
hf mf csetuid -u 11223344 -a 0044 -s 18

↑ Torna su

MIFARE Classic Gen1B

Simile a Gen1A, ma supporta lettura/scrittura diretta dopo il comando 40

Identificare

hf mf info
...
[+] Capacità magiche... Gen 1b

Comandi Magici

• Leggi: 40(7), 30xx
• Scrivi: 40(7), A0xx+crc, xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx+crc

↑ Torna su

MIFARE Classic DirectWrite (Gen2 / CUID)

Indicato anche come compatibile MCT da alcuni venditori

Altri nomi: MF-8 (RU), MF-3 (RU), MF-3.2 (RU)

Identificare

hf mf info
...
[+] Capacità magiche... Gen 2 / CUID

Comandi Magici

Compatibile Android (MTools) - emette scrittura regolare al blocco0

Caratteristiche

• UID: versioni 4b e 7b
• ATQA: alcune carte riproducono ciecamente i byte ATQA del blocco0, alcune usano ATQA fisso
• SAK: alcune carte riproducono ciecamente il byte SAK del blocco0, alcune usano SAK fisso
• BCC: alcune carte riproducono ciecamente il byte BCC del blocco0, alcune calcolano BCC corretto
• ATS: alcune carte non rispondono a RATS, alcune rispondono con un ATS

Comandi Proxmark3

hf mf wrbl --blk 0 -k FFFFFFFFFFFF -d 11223344440804006263646566676869 --force

hf mf wipe --gen2

Quando "soft-brickato", usa hf 14a config per forzare le impostazioni ATQA/BCC.

↑ Torna su

MIFARE Classic Gen3 (APDU)

Identificare

hf mf info
...
[+] Capacità magiche... Gen 3 / APDU ( possibilmente )

Comandi Magici

Compatibile Android (MTools) - emette APDU speciali

cla  ins p1  p2  len
 90  F0  CC  CC  10 <blocco0>  - scrivi blocco 0
 90  FB  CC  CC  07 <uid>     - cambia uid (indipendentemente dai dati del blocco0)
 90  FD  11  11  00           - blocca permanentemente

Caratteristiche

• UID: versioni 4b e 7b
• ATQA/SAK: fisso
• BCC: auto
• ATS: nessuno

Comandi Proxmark3

# cambia solo UID:
hf mf gen3uid
# scrivi blocco0:
hf mf gen3blk
# blocca (uid/blocco0?) per sempre:
hf mf gen3freeze

↑ Torna su

MIFARE Classic QL88

Tag progettati per l'uso con il dispositivo di clonazione "CopyKey X5". Queste carte implementano funzionalità personalizzate come una forma di DRM rudimentale (Digital Rights Management) per impedire al CopyKey di funzionare con altri tag vuoti. Prodotte da QinLin neighbor technology, queste carte prendono il nome dal loro distintivo valore SAK di 88 nel Blocco 0.

Identificare

hf mf info
...
[=] --- Informazioni PRNG
[+] Prng................. difficile

Caratteristiche

• UID: versioni 4b
• ATQA/SAK: valore SAK di 88 memorizzato nel Blocco 0 (non usato durante l'anticolisione)
• BCC: calcolato
• ATS: nessuno
• PRNG: difficile
• Firma: Contiene dati di firma nel Settore 17
• Chiavi Personalizzate: Il Settore 17 usa Chiave A personalizzata (0x2612C6DE84CA) e Chiave B (0x707B11FC1481)
• Dati del Produttore: Il Blocco 0 contiene sempre 88980020 000000F8
• Settore 16: Completamente scrivibile dall'utente

Comandi Proxmark3

# Leggi Settore 17 con chiavi personalizzate:
hf mf rdsc --sec 17 -a 2612C6DE84CA -b 707B11FC1481

# Verifica dati del produttore nel Blocco 0:
hf mf rdbl --blk 0 -k FFFFFFFFFFFF

↑ Torna su

MIFARE Classic HUID

Una variazione del tag QL88 che sembra utilizzare una Funzione di Derivazione Chiave (KDF) personalizzata per la generazione delle chiavi. Nonostante il meccanismo di chiavi personalizzato, la struttura e il comportamento sottostanti rimangono simili alle carte QL88. L'analisi suggerisce che questi sono essenzialmente tag CUID con chiavi personalizzate applicate.

Caratteristiche

• UID: versioni 4b
• Generazione Chiavi: Usa KDF personalizzato (Funzione di Derivazione Chiave)
• Tipo Base: Sembra essere tag CUID con chiavi personalizzate
• Compatibilità: Stessa struttura chiavi di QL88

↑ Torna su

MIFARE Classic USCUID

Queste carte magiche hanno una pagina di configurazione lunga 16 byte, che di solito inizia con 0x85. Tutti i tag conosciuti che usano questa configurazione sono elencati qui.

Caratteristiche

• UID: 4/7 byte
• ATQA: sempre letto dal blocco 0
• SAK: letto dal backdoor o configurazione
• BCC: letto dalla memoria, attenzione!
• ATS: no/sconosciuto

Identificare

hf mf info
...
[+] Capacità magiche... Gen 4 GDM / USCUID ( Magic Auth/Gen1 Magic Wakeup/Alt Magic Wakeup )

Comandi Magici

• Autenticazione magica: seleziona, 8000+crc, [Crypto1 Auth: 000000000000]
• Risveglio magico (A: 00): 40(7), 43
• Risveglio magico (B: 85): 20(7), 23
• Lettura backdoor: 38xx+crc
• Scrittura backdoor: A8xx+crc, [16 byte dati]+crc
• Leggi configurazione: E000+crc
• Scrivi configurazione: E100+crc, [16 byte dati]+crc

Guida Configurazione USCUID

Formato configurazione:

85000000000000000000000000000008
      ^^^^^^    ^^          ^^   >> ??? Mistero ???
^^^^                             >> Modalità Gen1a (funziona con bitflip)
    ^^                           >> Comando risveglio magico (00 per 40-43; 85 per 20-23)
            ^^                   >> Blocca uso della Chiave B se leggibile da ACL
              ^^                 >> Modalità CUID
                  ^^             >> Configurazione MFC EV1 CL2 Perso
                    ^^           >> Modalità ombra
                      ^^         >> Comando Magic Auth
                        ^^       >> Modalità nonce cifrato statico
                          ^^     >> Settore firma
                              ^^ >> SAK

Per abilitare un'opzione, impostala su 5A.

Comandi Proxmark3

# Leggi blocco configurazione dalla carta
hf mf gdmcfg

# Scrivi blocco configurazione sulla carta
hf mf gdmsetcfg

# Analizza blocco configurazione sulla carta
hf mf gdmparsecfg

# Scrivi blocco sulla carta
hf mf gdmsetblk

Variazioni Conosciute

Configurazione di Fabbrica	Nome
850000000000000000005A5A00000008	GDM
850000000000005A00FF005A00000008	GDCUID
850000000000005A0000005A5A5A0008	UCUID
8500000000005A00005A005A005A0008	"7 byte difficile"
7AFF850102015A00005A005A005A0008	M1-7B
7AFF85000000000000FF000000000008	FUID
7AFF000000000000BAFA358500000008*	PFUID
7AFF000000000000BAFA000000000008	UFUID
7AFF0000000000000000000000000008	ZUID

*Non tutti i tag sono uguali! UFUID, ZUID e PFUID non sono implementazioni complete di USCUID.

↑ Torna su

MIFARE Classic Super

Si comporta come una normale Mifare Classic ma registra i tentativi di autenticazione del lettore.

MIFARE Classic Super Gen1

Vecchio tipo di carte, difficile da ottenere. Sono DirectWrite, l'UID può essere cambiato tramite blocco 0 o comandi backdoor.

• UID: versione 4b
• ATQA/SAK: fisso
• BCC: auto
• ATS: fisso, 0978009102DABC1910F005

ATQA/SAK corrisponde alla carta 1k, ma funziona come carta 4k.

MIFARE Classic Super Gen2

Nuova generazione di carte, basata su chip Gen4 limitato. Emula il protocollo backdoor Gen1, ma può memorizzare fino a 7 tracce diverse.

La carta risponde sempre ff ff ff ff come at, quindi leggere/scrivere tramite protocollo Mifare è impossibile.

• UID: versioni 4b e 7b
• ATQA/SAK: fisso
• BCC: auto
• ATS: modificabile, predefinito come Gen1

Identificare

hf mf info
...
[+] Capacità magiche... Super card ( Gen ? )

Comandi Proxmark3

hf mf supercard

↑ Torna su

MIFARE Ultralight

MIFARE Ultralight Blocchi 0..2

SN0  SN1  SN2  BCC0
SN3  SN4  SN5  SN6
BCC1 Int  LCK0 LCK1

L'UID è composto dai byte SN0..SN6

Calcolo BCC0 su UID 04112233445566: analyse lrc -d 88041122 = bf

Calcolo BCC1 su UID 04112233445566: analyse lrc -d 33445566 = 44

Int è interno, tipicamente 0x48

La scorciatoia Anticol (CL1/3000) è supportata per UL, ULC, NTAG tranne NTAG I2C

↑ Torna su

MIFARE Ultralight Gen1A

Comandi Proxmark3

script run hf_mfu_setuid -h

Quando "soft-brickato" (scrivendo dati non validi nel blocco0), questi possono aiutare:

hf 14a config -h
script run hf_mf_magicrevive -u

↑ Torna su

MIFARE Ultralight DirectWrite

Identificare

hf 14a info
...
[+] Capacità magiche : Gen 2 / CUID

Sembra che finora tutti i MFUL DW abbiano una risposta ATS nella configurazione di fabbrica.

Comandi Magici

Emetti tre comandi di scrittura MFU regolari di seguito per scrivere i primi tre blocchi.

Caratteristiche

• UID: Solo versioni 7b
• ATQA: tutte le carte riproducono ATQA fisso
• SAK: tutte le carte riproducono SAK fisso
• BCC: alcune carte riproducono ciecamente i byte BCC0 del blocco0 e BCC1 del blocco2, alcune calcolano BCC corretto
• ATS: tutte le carte rispondono con un ATS

Comandi Proxmark3

hf mfu setuid -h

Equivalente: non usare hf mfu wrbl poiché devi scrivere tre blocchi di seguito, ma fallo, con BCCx corretto:

hf 14a raw -s -c -k a2 00 041122bf
hf 14a raw    -c -k a2 01 33445566
hf 14a raw    -c    a2 02 44480000

Comandi libnfc

nfc-mfultralight -h

Vedi --uid e --full

Android (MTools)

MIFARE++ Ultralight

↑ Torna su

MIFARE Ultralight EV1 DirectWrite

Simile a MFUL DirectWrite

Identificare

hf 14a info
...
[+] Capacità magiche : Gen 2 / CUID

Caratteristiche

• UID: Solo versioni 7b
• ATQA: tutte le carte riproducono ATQA fisso
• SAK: tutte le carte riproducono SAK fisso
• BCC: le carte riproducono ciecamente i byte BCC0 del blocco0 e BCC1 del blocco2, attenzione!
• ATS: tutte le carte rispondono con un ATS

↑ Torna su

MIFARE Ultralight C Gen1A

Simile a MFUL Gen1A

↑ Torna su

MIFARE Ultralight C DirectWrite

Simile a MFUL DirectWrite

Identificare

hf 14a info
...
[+] Capacità magiche : Gen 2 / CUID

Caratteristiche

• UID: Solo versioni 7b
• ATQA: tutte le carte riproducono ATQA fisso
• SAK: tutte le carte riproducono SAK fisso
• BCC: le carte calcolano BCC0 e BCC1 corretti in anticolisione
• ATS: tutte le carte rispondono con un ATS

↑ Torna su

MIFARE Ultralight USCUID-UL

Queste carte magiche, come le MFC USCUID hanno una pagina di configurazione lunga 16 byte, composta da 4 blocchi di 4 byte ciascuno. Questo di solito inizia con 0x85.

Caratteristiche

• UID: 7 byte
• ATQA: sempre letto dal blocco nascosto F6
• SAK: sempre letto dal blocco nascosto F6
• BCC: letto dai blocchi 0-1 secondo la specifica Ultralight
• ATS: Questi rispondono a una richiesta ATS con la pagina di configurazione in modalità fabbrica

Identificare

In stato di configurazione di fabbrica:

hf 14a info
...
[=] -------------------------- ATS --------------------------
[!] L'ATS potrebbe essere corrotto. La lunghezza dell'ATS (18 byte incl. 2 Byte CRC) non corrisponde a TL
[+] ATS: 85 00 85 A0 00 00 0A A5 00 04 04 02 01 00 0F 03 [ 07 00 ]

Comandi Magici

• Risveglio magico (A: 00): 40(7), 43
• Risveglio magico (B: 85): 20(7), 23
• Lettura backdoor blocco principale e nascosto: 30xx+crc
• Scrittura backdoor blocco principale e nascosto: A2xx[4 byte dati]+crc
• Leggi configurazione: E050+crc
• Scrivi configurazione: E2[offset*4, 1b][dati, 4b]+crc

Variazioni Conosciute

Configurazione di Fabbrica	Nome
850000A0 00000AC3 00040301 01000B03	UL-11
850000A0 00000A3C 00040301 01000E03	UL-21
850000A0 0A000A00 00000000 00000000	UL-C
850085A0 00000AA5 00040402 01000F03	NTAG213
850000A0 00000A5A 00040402 01001103	NTAG215
850000A0 00000AAA 00040402 01001303	NTAG216

↑ Torna su

NTAG

NTAG213 DirectWrite

Simile a MFUL DirectWrite

Identificare

hf 14a info
...
[+] Capacità magiche : Gen 2 / CUID

Caratteristiche

• UID: Solo versioni 7b
• ATQA: tutte le carte riproducono ATQA fisso
• SAK: tutte le carte riproducono SAK fisso
• BCC: le carte riproducono ciecamente i byte BCC0 del blocco0 e BCC1 del blocco2, attenzione!
• ATS: tutte le carte rispondono con un ATS

↑ Torna su

NTAG21x

Identificare

hf 14a info
...
[+] Capacità magiche : NTAG21x

Caratteristiche

Emula completamente NTAG213, 213F, 215, 216, 216F

Emula parzialmente UL EV1 48k/128k, NTAG210, NTAG212, NTAGI2C 1K/2K, NTAGI2C 1K/2K PLUS

Scorciatoia Anticol (CL1/3000): fallisce

Comandi Proxmark3

script run hf_mfu_magicwrite -h

Versione e Firma

Non dimenticare di configurare i blocchi massimi di lettura/scrittura:

hf 14a raw -s -c -t 1000 CF000000006BFB

Nota: 0xFB = 251

Le informazioni di Versione e Firma di Ultralight EV1 e NTAG sono memorizzate rispettivamente nei blocchi 250-251 e 242-249.

↑ Torna su

DESFire

"DESFire" APDU, UID 7b

Comandi Magici

Compatibile Android (MTools) - emette APDU speciali

Caratteristiche

• ATQA: 0344
• SAK: 20
• ATS: 0675338102005110 o 06757781028002F0

Imita solo l'anticolisione DESFire (ma ATS errato), nessun ulteriore supporto DESFire

Comandi Proxmark3

UID 04112233445566

hf 14a raw -s -c 0200ab00000704112233445566

o equivalentemente

hf 14a apdu -s 00ab00000704112233445566

↑ Torna su

"DESFire" APDU, UID 4b

Comandi Magici

Compatibile Android (MTools) - emette APDU speciali

Caratteristiche

• ATQA: 0008 (Questo è FM1208-9, NON DESFire!)
• SAK: 20
• ATS: 0675338102005110 o 06757781028002F0

Imita solo l'anticolisione DESFire (ma ATS errato), nessun ulteriore supporto DESFire

Comandi Proxmark3

UID 04112233445566

hf 14a raw -s -c 0200ab00000411223344

o equivalentemente

hf 14a apdu -s 00ab00000411223344

↑ Torna su

ISO14443B

Carta CPU Tiananxin TCOS

Questa è una carta venduta su Taobao per testare i lettori. Conforme a ISO14443-4.

Identificare

hf 14a apdu -s 90B2900000 // Ottieni versione OS della carta
>>> 90 B2 90 00 00
<<< 54 43 4F 53 20 56 31 2E 34 2E 30 90 00 | TCOS V1.4.0..

Comandi Magici

Tutti i comandi in APDU.

CL IN P1 P2 Lc Dati
90 F4 CC CC 01 [..1 ] // Cambia protocollo usato              (1: ISO14443 [AA - tipo A, BB - tipo B])
90 F6 CC CC 01 [TA1 ] // Cambia valore TA1 (velocità trasferimento)
90 F8 CC CC 01 [..1 ] // Usa valore UID/PUPI casuale         (1: FF: statico, AB: casuale)
90 F8 DD DD 01 [..1 ] // Imposta lunghezza UID                    (1: byte in UID (04, 07, 0A per 4, 7, 10 byte rispettivamente))
90 F8 EE EE 0B [... ] // Imposta valore UID/PUPI                (FF+inserisci valore UID qui). Per cancellare, usa Lc=01; dati=00.
90 FA CC CC 01 [FSCI] // Imposta FSCI                          (1: valore 0-8)
90 FC CC CC 01 [SFGI] // Imposta SFGI (NON IMPOSTARE TROPPO ALTO!)   (1: valore 0-E)
90 FE CC CC 01 [FWI ] // FWI (NON IMPOSTARE SOTTO 4!!!)   (valore 0-E)

↑ Torna su

ISO15693

ISO15693 Magico

Comandi Proxmark3

Imposta sempre un UID che inizia con E0.

hf 15 csetuid E011223344556677

o (ignora errori):

script run hf_15_magic -u E004013344556677

↑ Torna su

Carte Multi-Protocollo

Carta Magica Definitiva (UMC)

Alias carta magica definitiva, la caratteristica più prominente è la modalità ombra (GTU) e i comandi backdoor protetti da password opzionale.

Può emulare famiglie MIFARE Classic, Ultralight/NTAG, UID 14b e Dati App.

Identificare

hf 14a info
[+] Capacità magiche : Gen 4 GTU

La carta sarà identificata solo se la password è quella predefinita. Si può identificare manualmente tale carta se la password è ancora quella predefinita, con il comando per ottenere la configurazione corrente:

hf 14a raw -s -c -t 1000 CF00000000C6

Se la carta è una Carta Magica Definitiva, restituisce 30 o 32 byte.

Comandi Magici

Ci sono due modi per programmare questa carta:

1. Usa i comandi raw designati dagli esempi hf 14a.
2. Usa i comandi dello script hf_mf_ultimatecard.lua. Questo script non è completamente compatibile con la nuova versione UMC.

Riepilogo comandi raw speciali:

CF <password> 32 <00-04>                           // Configura modalità ombra GTU
CF <password> 34 <1b lunghezza><0-16b ATS>            // Configura ATS
CF <password> 35 <2b ATQA><1b SAK>                 // Configura ATQA/SAK (scambia byte ATQA)
CF <password> 68 <00-02>                           // Configura lunghezza UID
CF <password> 69 <00-01>                           // (Dis)Attiva modalità Ultralight
CF <password> 6A <00-03>                           // Seleziona modalità Ultralight
CF <password> 6B <1b>                              // Imposta settori massimi lettura/scrittura Ultralight e M1
CF <password> C6                                   // Dump configurazione
CF <password> CC                                   // Info versione, restituisce `00 00 00 [03 A0 (vecchio) / 06 A0 (nuovo) ]`
CF <password> CD <1b numero blocco><16b dati blocco> // Scrittura backdoor blocco 16b
CF <password> CE <1b numero blocco>                 // Lettura backdoor blocco 16b
CF <password> CF <1b param>                        // (Dis)Attiva scrittura diretta al blocco 0
CF <password> F0 <30b dati configurazione>          // Configura tutti i parametri in un cmd
CF <password> F1 <30b dati configurazione>          // Configura tutti i parametri in un cmd e fonde la configurazione permanentemente
CF <password> FE <4b nuova_password>                 // cambia password

<password> predefinita: 00000000

Caratteristiche

• UID: versioni 4b, 7b e 10b
• ATQA/SAK: modificabile
• BCC: calcolato
• ATS: modificabile, può essere disabilitato
• Tipo Carta: modificabile
• Modalità ombra: GTU
• Modalità password backdoor

Comandi Proxmark3

# visualizza contenuti della memoria tag:
hf mf gview
# Leggi un blocco specifico tramite comando backdoor:
hf mf ggetblk
# Scrivi un blocco specifico tramite comando backdoor:
hf mf gsetblk
# Carica dump sul tag:
hf mf gload
# Salva dump dal tag:
hf mf gsave

Cambia ATQA / SAK

hf 14a raw -s -c -t 1000 CF<password>35<2b ATQA><1b SAK>

Esempio: ATQA 0044 SAK 28, password predefinita

hf 14a raw -s -c -t 1000 CF0000000035440028

O (Nota che lo script correggerà l'ATQA correttamente)

script run hf_mf_ultimatecard -q 004428

Cambia ATS

hf 14a raw -s -c -t 1000 CF<password>34<1b lunghezza><0-16b ATS>

• <lunghezza>: byte lunghezza ATS, imposta a 00 per disabilitare ATS
• Quando il bit 6 del SAK è impostato (es. SAK=20 o 28), l'ATS deve essere attivato
• Il CRC dell'ATS sarà aggiunto automaticamente, non configurarlo
• Lunghezza max ATS: 16 byte (+CRC)

Esempio: ATS a 0606757781028002F0, password predefinita

hf 14a raw -s -c -t 1000 CF000000003406067577810280

O

script run hf_mf_ultimatecard -z 06067577810280

Imposta Lunghezza UID (4, 7, 10)

hf 14a raw -s -c -t 1000 CF<password>68<1b param>

• <param>
  • 00: 4 byte
  • 01: 7 byte
  • 02: 10 byte

Esempio: imposta lunghezza UID a 7 byte, password predefinita

hf 14a raw -s -c -t 1000 CF000000006801

Imposta UID 14443A

L'UID è configurato secondo il blocco0 con una scrittura backdoor.

Esempio: preparazione primi due blocchi:

hf 14a raw -s -c -t 1000 CF00000000CD00000102030405060708090A0B0C0D0E0F
hf 14a raw -s -c -t 1000 CF00000000CD01101112131415161718191A1B1C1D1E1F
hf 14a reader

Modalità MFC UID 4b

⇒ UID 00010203

script run hf_mf_ultimatecard -t 4 -u 00010203

Modalità MFC UID 7b

⇒ UID 00010203040506

script run hf_mf_ultimatecard -t 5 -u 00010203040506

Modalità MFC, UID 10b

⇒ UID 00010203040506070809

script run hf_mf_ultimatecard -t 6 -u 00010203040506070809

(Dis)Attiva Modalità Ultralight

hf 14a raw -s -c -t 1000 CF<password>69<1b param>

• <param>
  • 00: modalità MIFARE Classic
  • 01: modalità MIFARE Ultralight/NTAG

Esempio: attiva protocollo Ultralight, password predefinita

hf 14a raw -s -c -t 1000 CF000000006901

O

script run hf_mf_ultimatecard -n 01

In questa modalità, se SAK=00 e ATQA=0044, agisce come una carta Ultralight

Seleziona Modalità Ultralight

hf 14a raw -s -c -t 1000 CF<password>6A<1b param>

• <param>
  • 00: UL EV1
  • 01: NTAG
  • 02: UL-C
  • 03: UL

Esempio: imposta modalità Ultralight a Ultralight-C, password predefinita

hf 14a raw -s -c -t 1000 CF000000006A02

O

script run hf_mf_ultimatecard -m 02

Ora la carta supporta l'autenticazione 3DES UL-C.

Imposta Modalità Ombra (GTU)

hf 14a raw -s -c -t 1000 CF<password>32<1b param>

• <param>
  • 00: pre-scrittura, i dati ombra possono essere scritti
  • 01: modalità ripristino (AVVERTIMENTO: le nuove carte UMC (06a0) restituiscono dati spazzatura quando usano 01)
  • 02: disabilitato
  • 03: disabilitato, modalità R/W alta velocità per Ultralight?
  • 04: modalità split, funziona con nuova UMC. Con vecchia UMC non testato.

Lettura e Scrittura Diretta Blocco

Usando il comando backdoor, si può leggere e scrivere qualsiasi area senza password MFC, similmente alla carta MFC Gen1.

Lettura backdoor blocco 16b:

hf 14a raw -s -c -t 1000 CF<password>CE<1b numero blocco>

Scrittura backdoor blocco 16b:

hf 14a raw -s -c -t 1000 CF<password>CD<1b numero blocco><16b dati blocco>

Le operazioni di Lettura/Scrittura funzionano su 16 byte, indipendentemente dalla modalità Ultralight.

Esempio: leggi blocco0, password predefinita

hf 14a raw -s -c -t 1000 CF00000000CE00

Esempio: scrivi blocco0 con dati di fabbrica, password predefinita

hf 14a raw -s -c -t 1000 CF00000000CD00112233441C000011778185BA18000000

(Dis)Attiva Scrittura Diretta al Blocco 0

Questo comando abilita/disabilita le scritture dirette al blocco 0.

hf 14a raw -s -c -t 1000 CF<password>CF<1b param>

• <param>
  • 00: Attiva scrittura diretta al blocco 0 (Stesso comportamento delle carte Gen2. Alcuni lettori potrebbero identificare la carta come magica)
  • 01: Disattiva scrittura diretta al blocco 0 (Stesso comportamento delle carte vanilla)
  • 02: Valore predefinito. (Stesso comportamento di 00 (?))

Cambia Password Backdoor

Tutte le operazioni backdoor sono protette da password. Se la password viene dimenticata, non può essere recuperata. La password predefinita è 00000000.

Cambia password:

hf 14a raw -s -c -t 1000 CF <password> FE <4b nuova_password>

Esempio: cambia password da 00000000 a AABBCCDD

hf 14a raw -s -c -t 1000 CF00000000FEAABBCCDD

Dump Configurazione

hf 14a raw -s -c -t 1000 CF<password>C6

Configurazione predefinita:

00000000000002000978009102DABC191010111213141516040008006B024F6B
                                                            ^^^^ CRC, tipo sconosciuto
                                                          ^^ cf cmd cf: impostazione scrittura diretta blocco0
                                                        ^^ cf cmd 6b: settori massimi lettura/scrittura
                                                      ^^ cf cmd 6a: modalità UL
                                                ^^^^^^ cf cmd 35: ATQA/SAK
              ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ cf cmd 34: lunghezza e contenuto ATS
            ^^ cf cmd 32: modalità GTU
    ^^^^^^^^ cf cmd fe: password
  ^^ cf cmd 68: lunghezza UID
^^ cf cmd 69: protocollo Ultralight

Configurazione Veloce

hf 14a raw -s -c -t 1000 CF<password>F0<30b dati configurazione>

Vedi Dump configurazione per descrizione dati configurazione.

Esempio: Scrivi configurazione di fabbrica, usando password predefinita

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC191010111213141516040008004F6B

Preset

Ecco alcuni preset disponibili in FuseTool (ma con tutti gli ATS disabilitati)

MIFARE Mini S20 UID 4 byte

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000900

MIFARE Mini S20 UID 7 byte

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000900

MIFARE 1k S50 UID 4 byte (questa è l'impostazione di fabbrica)

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151604000800

MIFARE 1k S50 UID 7 byte

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151644000800

MIFARE 4k S70 UID 4 byte

hf 14a raw -s -c -t 1000 CF00000000F000000000000002000978009102DABC19101011121314151602001800

MIFARE 4k S70 UID 7 byte

hf 14a raw -s -c -t 1000 CF00000000F000010000000002000978009102DABC19101011121314151642001800

Ultralight

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000003FB

Ultralight-C

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000002FB

Ultralight EV1

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000000FB

NTAG21x

hf 14a raw -s -c -t 1000 CF00000000F001010000000003000978009102DABC19101011121314151644000001FB

↑ Torna su