发点关于无线电安全的学习资料（搬运有后续）

玄青道人

本人也是最近接触到无线电，如果有不周之处还望大佬补充。文章开始我先引用《无线电安全大揭秘》中的内容做一下铺垫吧。（注：斜体均为引用部分）
无线安全攻击手段
无线攻击不同于传统的Web攻击等手段，它是一种靠尝试介入无线通道为起点，最终获取连入该无线通道并实施信号控制，或者利用网络进行更深入的渗透测试的攻击形态。对于这样的无线通信安全评估，大致可分为如下几种手段。
攻击手段之一：无线数据报文监听。使用与目标无线系统运行频率相同的监听设备对全量无线报文进行收集及数据逆向分析、解密。如监听WiFi使用无线网卡，监听蓝牙使用蓝牙嗅探设备，监听无线钥匙则使用SDR设备。将无线报文数据通过相应的方法解密后，可以深入了解整套无线系统的运作原理，找出关键的无线指令。
攻击手段之二：无线信号重放攻击。如果目标系统的无线通信协议没有设立有效的时间戳或随机性等防信号重放机制，那么当使用相应的无线设备截获一段合法合规的无线指令时，就可以通过将这段信号指令直接重放出来，影响目标系统。如截获了无线钥匙的开门指令，可以不使用钥匙，直接重放开门或关门信号，就能获得打开目标车门或其他设备的权利。
攻击手段之三：无线信号欺骗攻击。联合无线监听及解密，通过掌握目标无线协议的报文构成及关键密匙、校验方法等，直接构造合法的可通过协议认证的无线报文，影响目标无线系统的运作。
攻击手段之四：无线信号劫持攻击。通过使用协议层（如压制WiFi热点的软件MDK3）或通信层（如发出特定频段噪声的信号干扰器）网络阻断的方法，也称无线拒绝服务攻击，将目标网络环境从合法领域拉入可控的虚假领域，再通过劫持上下行无线网络流量进行各类攻击。如使用MDK3压制一个无线客户端到一个合法无线热点的连接，迫使其接入虚假的无线热点；又如使用3G到4G信号干扰器，将手机或汽车的蜂窝网络从相对安全的网络压制到不够安全的2G网络环境，再被开源基站控制，继而进行上下行流量的中间人劫持攻击。
好了言归正传，今天我先分享一下关于proxmark3的一些教程吧：
（一）、准备工作
1、如果你是第一次接触并且准备使用Windows系统的话可以看看这个视频（https://www.bilibili.com/video/BV1wp411o7h9），不过建议尽量别自己刷固件，很容易变成板砖。。。
     官方github地址：https://github.com/Proxmark/proxmark3
     指令的列表：https://github.com/Proxmark/proxmark3/wiki/commands
     视频作者用的那些软件在这里： https://pan.baidu.com/s/1fG7zrNtOj3ejF2eszj0S4A 密码: z8xa
     如果你准备配置环境为(kali/ubuntu)
安装库依赖:
apt-get update
apt-get install build-essential libreadline5 libreadline-dev libusb-0.1-4 libusb-dev perl pkg-config subversion
安装proxmark3
git clone https://github.com/Proxmark/proxmark3.git
cd proxmark3/client
make all && make clean
插入usb线, 和pm3连接
查看usb串口设备
dmesg | grep -i usb命令下, 能看到这个串口
将proxmark3加入系统变量，方便直接用命令打开proxmark3
先修改home目录下的vi ~/.bashrc，再source ~/.bashrc
shift+G跳到最后一行，直接加入client的路径即可
直接打开proxmark3
测试高频、低频接收器
推荐链接：https://github.com/Proxmark/proxmark3/wiki/Kali-Linux
2、对于各种卡的认识
屏幕截图 2022-01-19 195826.png (487.99 KB, 下载次数: 0)

2022-1-19 19:58 上传

点击文件名下载附件

一般来说ID卡线圈是圆形，IC卡是长方形  https://cread.jd.com/read/startRead.action?bookId=30310292&readType=1
（二）默认口令破解 
首先使用数据线将PM3与电脑连接，并在设备管理器中查找相对应的串口。
连接成功后检测工作电压 hw tune观察到高频天线电压下降非常明显，这就说明我们现在所持有的卡片为高频IC卡，下面尝试对器破解，首先先读取卡片类型。
有时候Proxmark3在读取部分MIFARE Classic卡UID的信息时，因为无法得到RATS的返回信息，会判断为非ISO14443a标准的卡.国内有太多MIFARE Classic类的卡，并不是NXP出产的，所以Proxmark3就会出现提示
同时还会提示是否是中国后门卡，这也是因为IC可修改UID的卡片是中国人首先研究出来的，所以被统称为中国后门卡。
通常当我们拿到相关的卡的时候，我们应该先用chk命令去检测一下测试卡是否存在出厂时遗留的默认Key，因为使用默认的Key导致恶意用户可以使用其进行卡的信息读取以及修改。
已知的部分默认Key列表
nffffffffffff
nb0b1b2b3b4b5
n000000000000
na0a1a2a3a4a5
naabbccddeeff
n714c5c886e97
na0478cc39091
PM3程序中内置了一个默认密码列表，并会自动阐释使用者以列表中的密码进行探测。
图片1.png (18.05 KB, 下载次数: 0)

2022-1-19 20:03 上传

点击文件名下载附件

并且通过默认密码扫描功能成功读取了除1扇区和2扇区的扇区密码
图片2.png (27 KB, 下载次数: 0)

2022-1-19 20:03 上传

点击文件名下载附件

图片3.png (8.69 KB, 下载次数: 0)

2022-1-19 20:03 上传

点击文件名下载附件

这是利用嵌套认证漏洞使用任何一个扇区的已知密匙，获取所有扇区的密匙，此漏洞成功率较高，这个漏洞也被称作知一密求全密，我们现在已经知道其中的几个扇区的默认密码，使用PM3的知一密求全密的功能对扇区1、2进行破解
图片4.png (122.32 KB, 下载次数: 0)

2022-1-19 20:03 上传

点击文件名下载附件

图片5.png (34.6 KB, 下载次数: 0)

2022-1-19 20:03 上传

点击文件名下载附件

成功破解出1、2扇区的密码。
利用PRNG漏洞破解
MIFARE Classic采用的是Crypto-1私有加密算法，其算法的特点就是对称式的密码算法或者说是私钥密码系统。其主要组成部分是伪随机数发生器（PRNG）、48位的线性反馈移位寄存器（LFSR）以及非线性函数。由于算法当中的Filter Function的设计出现缺陷，导致改变线性反馈移位寄存器的后8位数值就有可能得到所对应的Keystream。这个缺陷类似于802.11b WEP算法，不同的明文有极高的可能性被相同的Keystream，使得整个加密算法出现了漏洞。
Proxmark3基于PRNG的安全缺陷是进行随机数碰撞，利用PRNG的安全缺陷我们可以很快速地得到对应的密钥，从而进行进一步的破解操作。
如果我们无法进行基于PRNG的安全缺陷破解的时候，很大可能是因为卡类增加了对应的机制（增加了防碰撞机制）以及修复了漏洞。
命令：hfmf mifare当输入命令后，需要耐心等待，整个过程花费的时间有快有慢。
结果出现后，首先要判断的是Found invaidKey还是Found vaidkey，如果是invaidkey的话，就是代表基于PRNG的漏洞出现的Key是错误的，并非正确的Key来的。但是最起码可以证明卡是存在PRNG漏洞的。接下来就是记住数值当中的Nt，这个数值将会被利用来进行第二次的PRNG漏洞的攻击测试
命令：hfmf mifareNT值
当输入命令后，窗口会再次进入进度状态，依然请记住耐心等待结果，并且如需停止，请按黑色按钮
因为基于PRNG的漏洞进行的破解，所以有时候会出现多次Nt的循环，这是很正常的结果，我们需要不断的利用Nt去进行真正Key的破解。整个过程是漫长而乏味的
RFID伪造
前面提到过中国后门卡，这里给大家讲解一下中国后门卡的原理的发展。
在早期RFID技术开始兴起时，卡片的价格还比较高昂，随着后期这项技术的关注程度越来越高，中国的很多厂商也考试对这项技术进行研究，并很快研究出了和M1系列卡片功能一致且价格极其低廉的卡片，但是后期有一部分人发现这种卡片在使用时有的需要实现相同功能，但是卡片又没有办法复制，所以就开始研究一种能够复制UID的卡片，并在后期成功研制出能够进行复制的卡片，这就是早期的CUID卡，这种卡片能够在正常使用时间内无限次的修改卡片的UID，并能够实现和市场上流通的卡片相同的功能。
后来很多厂商发现了这一问题，开始研究如何对后门卡进行预防，随后出现一大批能够检测中国后门卡的方案，其中大部分方案都是利用中国后门卡的自身的功能对其中的uid进行修改测试，如果机器判断能够修改UID，即停止对这张卡进行服务。
后来研究人员又对后门卡进行升级，然后推出了FUID卡，这种卡片和CUID卡相类似，但是它有一个特性就是在出场之后只能对其UID进行一次修改，一次修改完毕之后机会将0扇区锁死，无法再次修改，这种方案成功绕过了场上的检测机制。ID卡片的发展机制与之类似。
下面进行IC卡的复制实战，首先将卡中数据全部读取并写入到编辑区
 
  图片6.png (77.65 KB, 下载次数: 0)

2022-1-19 20:03 上传

点击文件名下载附件

放上空白的S50卡片，并点击克隆到空白S50卡片，待写入成功之后即可将数据写入到空白卡中。并能够使用复制之后的卡片进行河源卡一样的操作。
RFID嗅探
RFID嗅探也是一种非常常见的RFID攻击方式，对于一些卡片我们无法使用默认密码或者PRNG漏洞攻破其密码，但是我们仍然可以使用嗅探的方式对其进行攻击，从而嗅探出密码。
点击GUI软件中的现场有卡嗅探按钮，或者在命令行下输入hf 14a snoop
然后将卡片读卡器和PM3放置好
待嗅探完成之后按下PM3左侧按钮，并在命令行下输入hf list 14a命令查看嗅探结果。
并使用工具计算出扇区密码
图片7.png (319.82 KB, 下载次数: 0)

2022-1-19 20:03 上传

点击文件名下载附件

图片8.png (154.6 KB, 下载次数: 1)

2022-1-19 20:03 上传

点击文件名下载附件

 

H.U.C清风

楼主，用的工具能分享一下吗。

H.U.C清风

谢谢楼主分享，已回复

幻剑游云

啊这................放弃了