FB招聘站
分类阅读
专栏
公开课
企业服务
用户服务
手机版
搜索
投稿
登录
注册
走进科学:我是如何破解学校饭卡实现免费吃饭的global_hacker2014-05-12金币奖励+11共13429470人围观 ,发现 164 个不明物体头条极客
破解学校饭卡免费吃饭
本内容属于侥幸成功,如果有尝试破解成功的大神请分享你的破解绝招感觉,只要这卡破解差不多只是算法什么的,本小白不是很了解,希望大神们成功。
【克隆饭卡】
继上次水卡的成功破解,对学校的饭卡也有点想要研究的念头了。既然这样,打铁趁热马上开始动手,先拿出MCT测试一下卡类型和扇区情况先。(不了解相关工具和术语的去看看之前的水卡破解案例以及M1卡结构和破解探究)
按往常惯例先让主角上镜。
破解学校饭卡免费吃饭
正面
破解学校饭卡免费吃饭
背面
经MCT的检测,结果发现饭卡也是Mifare Classic 1k的卡。
破解学校饭卡免费吃饭
饭卡检测结果
那既然是M1卡,依旧来尝试读一下扇区,看有没有存在默认密钥。读取之后发现,卡片除了0扇区都被加密了,看来安全性还不错。可惜M1卡被破解,全部扇区加密都能够XOR算出密钥来还说有一个扇区密钥是知道的,无任何安全性可言。
破解学校饭卡免费吃饭
0扇区存在默认密码
0扇区并没加密,所以还是可以用跟水卡破解一样的手法,M1卡的验证漏洞,具体过程就不再阐述了,可以去翻看一下之前写过的,破解出密钥之后就重点来分析下算法。其实这跟软件破解是一样原理,我们需要的不是破解密钥的方法,而是从根源上将算法破解,破解密钥简单几步没任何电脑基础的都能完成,正如学编程不是学语法而是不断提高自己的程序思维,这样我们才能学到东西。
在我破解了密钥之后,我直接将key导入了MCT中,直接用MCT读取,比起用十六进制编辑器,我倒很喜欢有M1卡特有结构高亮功能的MCT,毕竟是专门用于Mifare卡的工具,卡中数据十分直观。仔细看看,1、2、10扇区存在数据,想要数据分析必须有多组数据,找同学借了几张卡来做对照。一轮对比过后,发现我的卡又是比较奇葩的,所有人的卡都是1、2扇区存在数据,只有我的10扇区有数据,纳闷啊……
破解学校饭卡免费吃饭
10扇区的奇怪数据
把10扇区清空,忙着生命危险跑去小卖部试了试,发现一切正常,好了,我是奇葩……
我消费了几次,拿回来之后发现,都是2扇区的扇区数据发生了变化,基本可以确定钱的数据就在2扇区,那1扇区到底是干嘛的呢?尝试清空1扇区,再去小卖部试卡,一切正常。猛然想起,学校旧的热水系统是使用饭卡的,今年更换了新系统之后才换的卡,估计1扇区就是旧热水系统的了,机器现在已经不复存在了,果断清空。
破解学校饭卡免费吃饭
清空1扇区数据
重点来看看饭卡的数据,直接用电脑的十六进制编辑器打开dump文件,就发现2扇区0段有我的名字的存在,这里是使用GBK内码保存的汉字,然后我尝试将刚刚在消费机上看到的卡号转成十六进制,在名字前不远的地方就发现了痕迹,那现在尝试下修改姓名和卡号。
破解学校饭卡免费吃饭
修改姓名
破解学校饭卡免费吃饭
修改卡号
抱着赴死的心再去小卖部(小卖部的阿姨已经开始注意我这个鬼鬼祟祟的小子了),在众多掩护之下拍下了这个结果图,成功了。
破解学校饭卡免费吃饭
卡号姓名修改成功
接下来就到了最振奋人心的修改金额了,经过前面几次消费的分析,我发现2扇区除了0段和3段之外,中间的两段数据都是发生了改变,并且每次都只有其中一行发生改变,这个问题困扰了我将近一天时间,最后在某个时刻茅塞顿开,终于想明白了。卡中的两字节数据变化,泄露了这两行数据的用途。
破解学校饭卡免费吃饭
仔细看看数值
01BF和01BE不刚刚好相差1吗?于是去小卖部多消费了几次,再结合之前充值的几次记录,终于发现,这个值每交易一次就会加1。这应该就是交易的次数记录了,问同学借了一张刚刚充值过的卡,发现不管是充值还是消费在这里都记录了最近两次的消费记录,并且第一行是记录奇数次的,第二行是记录偶数次的,这也就造成了之前为什么变化的位置不通。知道这个规矩之后后面的工作就简单得多了,每一行肯定是代表了一次消费记录,其他数据干什么用对于我们的分析也不会造成太大的干扰。
破解学校饭卡免费吃饭
将我现在饭卡的余额转换成十六进制,马上就发现了前8位就是记录了这次交易后的余额,紧接着的就是这次的交易的金额,再接着就是消费次数,后面还有很长一段数据应该是消费机的编号了(这个会在后续继续破解,目前暂时没有头绪),尝试着将饭卡按这个规律计算了一次,将卡修改成一百多块钱,结果如下图。
破解学校饭卡免费吃饭
计算好的饭卡
一切弄好之后写入到新卡,拿去测试,一切正常,使用非常完好,到此为止饭卡也被全部破解了。改个强悍点的数值看一看。
破解学校饭卡免费吃饭
破解成功
此次破解总耗时接近7天,而且还有一些隐晦数据没有清楚用途,后期继续进行研究。
更多精彩# RFID# 无线黑客# 饭卡破解
global_hacker
global_hacker
3 篇文章
等级: 4级
||
相关推荐
RFID破解三两事
RFID入门:Mifare1智能水卡破解分析
M Tools:移动端rfid校验计算工具
关于“RFID破解两三事”的一些事
“RFID 破解三两事”讨论总结
低成本安全硬件实战遇到的那些事
RFID消费终端设备安全风险之某高卡破解剖析
关于”RFID安全技术探讨”的一点小看法
这些评论亮了
test回复
走进科学:学校保安如何暴打楼主7天
)1079(亮了
aaa回复
居然是离线的,离线的不用这么麻烦,先把数据复制出来,钱刷完了直接写回去就有钱了
)646(亮了
asdasd回复
现在不是都联网了么,即使成功,估计等晚上,每日结账的时候消费机上传数据,你就作死了吧
)454(亮了
Seraph(1级)安恒高级安全工程师回复
这篇文章好熟悉,在看雪看过,在某大牛博客看过,LZ不属一下版权啊,传送门http://bobylive.com/static/1635
)150(亮了
radiowar(6级)国内首个公开专注研究无线类安全团队回复
@河蟹 你想我们喷啥?就喷你这句话?呵呵呵呵
)62(亮了
发表评论已有 164 条评论
test 2014-05-12回复1楼
走进科学:学校保安如何暴打楼主7天
亮了(1079)
离进去 2014-05-12回复2楼
不远了
亮了(39)
河蟹 2014-05-12回复3楼
坐等radiowar来喷
亮了(27)
radiowar 认证作者(6级)国内首个公开专注研究无线类安全团队 2014-05-12回复
@河蟹 你想我们喷啥?就喷你这句话?呵呵呵呵
亮了(62)
Kainy Guo 2014-05-12回复
@radiowar 呵呵呵,呵呵呵。
亮了(16)
dd 2014-05-12回复4楼
现在卡不是联网数据库操作??
亮了(40)
鉴澈 2014-05-12回复5楼
要是发现不是离线的,楼主就可以坐等了
亮了(33)
FB客服 2014-05-12回复6楼
还是有人下手了
亮了(19)
海马 2015-07-01回复
@ FB客服 对啊
亮了(16)
x0r16 (3级)好人修电脑。 2014-05-12回复7楼
……饭卡上的图片大楼看着怎么那么眼熟?
亮了(33)
博主好牛逼 2014-05-12回复8楼
擦,博主高三。。。。。
亮了(26)
守望的渔夫 (1级) 2014-05-12回复9楼
难道楼主单纯用一个带nfc的手机再装个软件就给破了??什么软件来的
亮了(32)
anlfi (5级) 2014-05-13回复
@守望的渔夫
是呀 这个软件叫 Mifare Classic Tool
功能如下:
* 读取Mifare Classic卡片 * 编辑并保存卡片的数据
* 写入Mifare Classic卡片 * 复制Mifare Classic卡片 (写入数据文件从一张卡片到一张新卡;不包括第一区块)
* 密匙管理基于字典攻击
写入你知道的密匙到一个文件中(字典).
MCT会尝试用这些密匙认证所有区块并且尽可能读取
* 创建/编辑并保存密匙文件(字典)
* 显示卡片数据为高亮的ASCII
* 显示卡片数据为7-Bit US-ASCII
* 显示Mifare Classic卡片准入条件为一个表(译者:就是根据控制位判断该区段为keyA控制还是keyB控制)
* 显示Mifare Classic卡片为数值的值块 * 内置手册
* 开
http://www.freebuf.com/tools/7531.html
m1的卡可以用shadow检测跑出key来 运气好 2个小时就能跑完
然后把key导入到字典里
消费一次 就用手机读一次
数据分析可方便了
亮了(34)
あ (1级) 2015-02-20回复
@ anlfi 你好牛
亮了(8)
∞风居住的街道∞ (1级) 2015-06-19回复
楼主,那个mct要怎么读取这卡啊
亮了(32)
hero 2016-11-08回复
@ anlfi 这个是对的2358699905
亮了(8)
anlfi (5级) 2014-05-13回复
@守望的渔夫
@守望的渔夫
是呀 这个软件叫 Mifare Classic Tool
功能如下:
* 读取Mifare Classic卡片 * 编辑并保存卡片的数据
* 写入Mifare Classic卡片 * 复制Mifare Classic卡片 (写入数据文件从一张卡片到一张新卡;不包括第一区块)
* 密匙管理基于字典攻击
写入你知道的密匙到一个文件中(字典).
MCT会尝试用这些密匙认证所有区块并且尽可能读取
* 创建/编辑并保存密匙文件(字典)
* 显示卡片数据为高亮的ASCII
* 显示卡片数据为7-Bit US-ASCII
* 显示Mifare Classic卡片准入条件为一个表(译者:就是根据控制位判断该区段为keyA控制还是keyB控制)
* 显示Mifare Classic卡片为数值的值块 * 内置手册
* 开
http://www.freebuf.com/tools/7531.html
m1的卡可以用shadow检测跑出key来
然后把key导入到字典里
消费一次 就用手机读一次
数据分析可方便了
亮了(15)
Testing 2014-05-13回复
@anlfi 神的回复
亮了(9)
打酱油 2014-05-13回复
@anlfi Mifare Classic Tool 发软件能带个地址么 带头大哥
亮了(4)
守望的渔夫 (1级) 2014-05-17回复
@anlfi 可惜我们是4k卡,识别不出
亮了(16)
wffger 2014-08-20回复
@anlfi 你的手机是1+ one?
亮了(4)
caoxiewa (1级) 2015-07-17回复
@ 打酱油 hah
亮了(3)
ccc 2016-03-28回复
@ anlfi shadow 是什么软件?有全称吗?
亮了(12)
hero 2016-11-08回复
@ anlfi 加我qq235869995
亮了(3)
pis 2016-12-07回复
@ ccc 我也想要
亮了(3)
pis 2016-12-07回复
@ anlfi 我也想要知道shadow是什么?怎么跑出key?
亮了(6)
我我 2017-01-27回复
@ 守望的渔夫 软件 但我没有那个NFC硬件
亮了(4)
ean (1级) 2014-05-12回复10楼
亮了(3)
FBI 2014-05-12回复11楼
楼主,小心啊。。
亮了(9)
土鳖 (1级) 2014-05-12回复12楼
目测设计单位是中科院
亮了(13)
圆形三角心 (1级) 2014-05-12回复13楼
水卡 如何破解 有没有教程
亮了(26)
。。 2014-05-12回复14楼
离线的 你学校好屌
亮了(4)
HinslotF.M 2014-05-12回复15楼
道明寺,你死定了! 
亮了(7)
匿名 2014-05-12回复16楼
道明寺,你死定了!
亮了(4)
aaa 2014-05-12回复17楼
居然是离线的,离线的不用这么麻烦,先把数据复制出来,钱刷完了直接写回去就有钱了
亮了(646)
ws 2014-05-13回复
@aaa 这个才是有实际操作经验的人啊,哈哈,随便你怎么加密什么结构,哥哥我只玩覆盖
亮了(25)
mc周梓涵 2015-11-22回复
@ aaa 怎样看卡是否是离线的?
亮了(38)
皮小秀 2017-06-26回复
@ aaa 求大神教 能加下我q1325416242嘛
亮了(1)
Ricter 2014-05-12回复18楼
晓美焰=。=
我是小圆啊!
亮了(26)
yixiao (3级) 2014-05-12回复19楼
联网的话你就死了
亮了(6)
千域千寻 (1级)帝吼天啸关山震 皇天后土伏做臣 2014-05-13回复20楼
节操躺中枪····
亮了(1)
asdasd 2014-05-13回复21楼
现在不是都联网了么,即使成功,估计等晚上,每日结账的时候消费机上传数据,你就作死了吧
亮了(454)
浩天寰宇 (3级)猴子是我请来的逗比~ 2014-05-13回复22楼
读卡软件叫啥??
亮了(6)
Seraph 认证作者(1级)安恒高级安全工程师 2014-05-13回复23楼
这篇文章好熟悉,在看雪看过,在某大牛博客看过,LZ不属一下版权啊,传送门http://bobylive.com/static/1635
亮了(150)
ChongHom-Hu (1级) 2014-05-13回复
@Seraph 真正的post主要版权来了。。。
亮了(8)
Testing 2014-05-13回复
@ChongHom-Hu 楼主盗版可是无节操的啊
亮了(5)
s0ap 2014-05-13回复24楼
这个不会和服务器做后端校验嘛?反正我们学校每个月会把卡上的数据和服务器上的做对比,对账不平就冻结卡
亮了(23)
caoxiewa (1级) 2015-07-17回复
@ s0ap 什么意思?
亮了(8)
lingdu 2014-05-13回复25楼
到时候一对帐就死翘翘了 我们学校以前天天晚上对账
亮了(10)
tonycolin (2级) 2015-03-30回复
是啊,我们也一样。。。。。。
亮了(5)
Rasiel (4级) 2014-05-13回复26楼
居然还有离网的?楼主你可确定?你可知道你犯下的是什么罪?
亮了(13)
千秋丶千年 (4级) 2014-05-13回复27楼
23楼真相,博主不遵照江湖规矩
亮了(3)
global_hacker (4级) 2014-05-13回复
@千秋丶千年 呵呵 这是 我基友的 有何 不对请指教
亮了(3)
ChongHom-Hu (1级) 2014-05-14回复
@global_hacker 不认识这个家伙。。。别乱拉关系( ̄. ̄)
亮了(7)
djon 2014-05-13回复28楼
现在学校都有充值记录的数据库,抓住要挨打的.
亮了(5)
caoxiewa (1级) 2015-07-17回复
@ djon 神回复
亮了(4)
游击队 2014-05-13回复29楼
西式套餐
日韩
高端大气上档次
亮了(2)
包子 (1级) 2014-05-13回复30楼
吊啊,就是这么吊。。玩玩而已,楼主受小弟一拜
亮了(2)
打小报告 2014-05-13回复31楼
主任,就是他,就是他盗刷的卡!!!
亮了(8)
凌晨几度i 认证作者(6级)FB作者 2014-05-13回复32楼
“水卡的成功破解”文章在哪?
亮了(4)
啊呆阿呆 (1级) 2014-05-19回复
@凌晨几度i http://bobylive.com/static/1493#
亮了(20)
chenyoufu123 2014-05-13回复33楼
楼主可以准备申请主动退学了
亮了(11)
bobylive 2014-05-13回复34楼
我是来索要版权的( ̄. ̄),转发请标明出处
亮了(18)
asdasdasdasd 2014-05-13回复
@bobylive 你看你图片里面的url都没给你抹掉,比某CTO强多了
亮了(4)
z0mbie 2014-05-13回复35楼
啥时候把银行卡给哥破了?
亮了(13)
Moriarty (3级) 2014-05-13回复36楼
我嚓,太坑了,天坑啊,B5C0C3F7CBC20000, 我以为会是作者的真实姓名呢,结果转换一看居然是“道明寺”,我了个草~~~
亮了(18)
Testing 2014-05-13回复
@Moriarty 别玩社工了大黑阔。
亮了(7)
sss 2016-10-09回复
@ Moriarty 怎么转换的/?
亮了(1)
baninuk (1级)Amo,Agra sum. 2014-05-13回复37楼
槽点满满啊……这种app叫什么来着?
亮了(0)
dead_ice (1级) 2014-05-13回复38楼
很屌哦
亮了(3)
sdc 2014-05-13回复39楼
基本上这类系统都有对账系统,扣费POS机有离线与在线工作模式,离线工作模式下扣费记录在卡上,然后联网的时候pos机在同步数据库,所以只要楼主不做死在联网模式下修改,或者离线模式下的POS机不联网,那么楼主就不会被查出来,但是月底对账就可以看出蹊跷来。
亮了(13)
CYSHacker (1级) 2014-05-13回复40楼
我們學校是刷條碼存數據庫的
亮了(2)
叶纸 (3级) 2014-05-13回复41楼
看雪老文章了。貌似当时是M1型卡,可现在还有么。生在魔都的我的学校。采用JOCP的卡怎么玩。
亮了(10)
global_hacker (4级) 2014-05-13回复42楼
安恒的 大牛 你可认识 安恒 的四条龙
亮了(3)
global_hacker (4级) 2014-05-13回复43楼
我会 告诉你 这是 我 认识的 1024的 大婶的 杰作吗
亮了(1)
jacker (6级)Ubuntu Arch Vim爱好者 2014-05-13回复44楼
在法科现在听潮社区看的饭卡读取文章也有的
亮了(2)
h4dex (3级)无业游民.小学生. 2014-05-13回复45楼
破解不出算法 简单的方法就是 首先你拿2张卡 一张有钱 一张没钱
有钱的这张 拿到读卡器上 读出各段数据 如LZ所发. 记录下
然后去消费 看看哪段改变了 – 就是金额的。。其他的不用改因为可能是 卡号 姓名等。
然后把 A卡 的 消费金额 备份到 B卡 (空卡)
之后B卡没钱了 仍然可以把这个值备份进去。。 虽然有些麻烦 不过也是可以 循环消费 不是么-,-
解决办法:
如 楼上 @CYSHacker 所说 由 编号ID 指向数据库 存储消费 也是不错的选择 (你可以改变ID消费别人的钱 哈哈)
亮了(19)
delectate 2014-05-13回复46楼
你这个毫无难度,因为是离线的;我们学校所有的数据都是存储在一个不连接外网的服务器上;晚上服务器还会维护所以不能刷卡;故此,除非物理接触,或者修改卡id(如果悲剧,改到一个余额比你更少的倒霉蛋身上……),才有可能修改余额。
公交卡不可以这样改,这是忠告。
亮了(6)
ghosttang 2014-05-16回复
@delectate 公交卡就是离线的啊,为何不行?
亮了(4)
savage 2014-05-21回复
@ghosttang 公交卡的那个刷卡器,每天要回去同步数据的。
亮了(4)
z7y 2015-01-13回复
@ savage 不记名的 直接保存数据 然后覆盖 不就没事了
亮了(5)
caoxiewa (1级) 2015-07-17回复
@ delectate 神回复
亮了(2)
皮小秀 2017-06-26回复
@ delectate 嗯~老哥 你会改饭卡吗?能教教我嘛 生活所迫 看到了能加下我q嘛1325416242 不胜感激
亮了(1)
pynwolf (6级) 2014-05-13回复47楼
百度网盘链接: http://pan.baidu.com/s/1nt3C23B 密码: 8yhy
亮了(11)
请freebuf的海阔带队攻陷开侨中学 2014-05-13回复48楼
开侨中学
开侨中学
开侨中学
开侨中学的娃娃好强,我高中的时候连手机都没有
人家学校http://www.kqzx.com.cn/
亮了(3)
YsGer (1级) 2014-05-21回复
@请freebuf的海阔带队攻陷开侨中学
哎哟 我去 看尽天下AV 心中自然无码 – - 敢问是怎么看出来的 – - 我都是百度 看来你说的 中学的主页图片 才发现 是那个中学
亮了(2)
xu3re (1级) 2014-05-13回复49楼
泥马高人,老兄可以天天吃火锅了。
亮了(3)
zyxy (1级) 2014-05-14回复50楼
我是从饭卡的生厂商入手的,那是三年前的事情了!
亮了(13)
1 2 3 下一页
昵称
请输入昵称
必须您当前尚未登录。登录?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
global_hacker
global_hacker
这家伙太懒,还未填写个人描述!
3
文章数
384
评论数
1
关注者
关注
最近文章
走进科学:我是如何破解学校饭卡实现免费吃饭的
2014.05.12
浅析FPGA现场可编程门阵列
2014.04.23
[影视推荐]黑客题材美剧—网络末日战
2012.11.22
浏览更多
相关阅读
802.11 WEP和WPA-PSK破解工具——Aircrack-ng 1.2 Beta 1RFID开发之圣诞袜的秘密另一种角度看《RFID Advanced Security》首部曲RFID破解三两事RFID安全:一次M1卡(洗澡卡、开水卡)破解历程
推荐关注
官方公众号
聚焦企业安全
官方QQ群 FreeBuf官方微博
文章目录
活动预告
3月
纯实战化攻防教学 | 玩转黑客操作系统Blackarch
已结束
3月
合规、技术、实践,从隐私保护走向数据安全
已结束
3月
冠军选手帮你把CTF知识点各个击破
已结束
3月
CTF之web安全入门
已结束
本站由阿里云 提供计算与安全服务
官方QQ群:590717869
用户服务有奖投稿申请专栏提交漏洞参与众测商城企业服务甲方会员厂商会员企业空间企业SRC漏洞众测智能安全合作信息寻求报道广告投放联系我们友情链接关于我们关于我们加入我们
微信公众号
新浪微博赞助商
FreeBuf+小程序
扫码把安全装进口袋
斗象科技FreeBuf漏洞盒子斗象智能安全平台免责条款协议条款Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved 沪公网安备 31011502009321号
css.php正在加载中...0daybank
文章评论