Translated ['src/todo/radio-hacking/maxiprox-mobile-cloner.md', 'src/tod

2025-10-10 18:36:50 +00:00 · 2025-08-04 10:35:44 +00:00 · 2025-08-04 10:35:44 +00:00 · 340d451be5
commit 340d451be5
parent 770b5c91ae
3 changed files with 110 additions and 14 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@ -887,6 +887,7 @@
 - [Industrial Control Systems Hacking](todo/industrial-control-systems-hacking/README.md)
  - [Modbus Protocol](todo/industrial-control-systems-hacking/modbus.md)
 - [Radio Hacking](todo/radio-hacking/README.md)
+  - [Maxiprox Mobile Cloner](todo/radio-hacking/maxiprox-mobile-cloner.md)
  - [Pentesting RFID](todo/radio-hacking/pentesting-rfid.md)
  - [Infrared](todo/radio-hacking/infrared.md)
  - [Sub-GHz RF](todo/radio-hacking/sub-ghz-rf.md)
--- a/src/todo/radio-hacking/maxiprox-mobile-cloner.md
+++ b/src/todo/radio-hacking/maxiprox-mobile-cloner.md
@ -0,0 +1,84 @@
+# Costruire un Cloner Mobile HID MaxiProx 125 kHz Portatile
+
+{{#include ../../banners/hacktricks-training.md}}
+
+## Obiettivo
+Trasformare un lettore HID MaxiProx 5375 a lungo raggio da 125 kHz alimentato a rete in un cloner di badge portatile, alimentato a batteria, che raccoglie silenziosamente le carte di prossimità durante le valutazioni di sicurezza fisica.
+
+La conversione trattata qui si basa sulla serie di ricerche di TrustedSec “Let’s Clone a Cloner – Part 3: Putting It All Together” e combina considerazioni meccaniche, elettriche e RF affinché il dispositivo finale possa essere riposto in uno zaino e utilizzato immediatamente sul campo.
+
+> [!warning]
+> Manipolare attrezzature alimentate a rete e power bank agli ioni di litio può essere pericoloso. Verifica ogni connessione **prima** di energizzare il circuito e mantieni le antenne, il coassiale e i piani di massa esattamente come erano nel design di fabbrica per evitare di disaccordare il lettore.
+
+## Distinta dei Materiali (BOM)
+
+* Lettore HID MaxiProx 5375 (o qualsiasi lettore HID Prox® a lungo raggio da 12 V)
+* ESP RFID Tool v2.2 (sniffer/logger Wiegand basato su ESP32)
+* Modulo trigger USB-PD (Power-Delivery) in grado di negoziare 12 V @ ≥3 A
+* Power bank USB-C da 100 W (fornisce profilo PD a 12 V)
+* Filo di collegamento in silicone da 26 AWG – rosso/bianco
+* Interruttore a levetta SPST da pannello (per interruttore di disattivazione del beeper)
+* Cappuccio di protezione NKK AT4072 / cappuccio anti-incidenti
+* Saldatore, treccia per dissaldare e pompa per dissaldare
+* Utensili manuali in ABS: seghetto, coltello multiuso, lime piatte e a mezzo tondo
+* Punte da trapano da 1/16″ (1,5 mm) e 1/8″ (3 mm)
+* Nastro biadesivo 3 M VHB e fascette
+
+## 1. Sottosistema di Alimentazione
+
+1. Dissaldare e rimuovere la scheda figlia del convertitore buck di fabbrica utilizzata per generare 5 V per la PCB logica.
+2. Montare un trigger USB-PD accanto all'ESP RFID Tool e portare il connettore USB-C del trigger all'esterno dell'involucro.
+3. Il trigger PD negozia 12 V dal power bank e lo fornisce direttamente al MaxiProx (il lettore si aspetta nativamente 10–14 V). Una linea secondaria da 5 V è prelevata dalla scheda ESP per alimentare eventuali accessori.
+4. Il pacco batteria da 100 W è posizionato a filo contro il distanziatore interno in modo che non ci siano **cavi di alimentazione** appesi all'antenna in ferrite, preservando le prestazioni RF.
+
+## 2. Interruttore di Disattivazione del Beeper – Funzionamento Silenzioso
+
+1. Individuare i due pad del diffusore sulla scheda logica del MaxiProx.
+2. Pulire *entrambi* i pad, quindi risaldare solo il pad **negativo**.
+3. Saldare fili da 26 AWG (bianco = negativo, rosso = positivo) ai pad del beeper e portarli attraverso una fessura appena tagliata a un interruttore SPST da pannello.
+4. Quando l'interruttore è aperto, il circuito del beeper è interrotto e il lettore funziona in completo silenzio – ideale per la raccolta furtiva di badge.
+5. Montare un cappuccio di sicurezza a molla NKK AT4072 sopra l'interruttore. Allargare con attenzione il foro con un seghetto / lima fino a farlo scattare sopra il corpo dell'interruttore. La protezione previene attivazioni accidentali all'interno di uno zaino.
+
+## 3. Involucro e Lavoro Meccanico
+
+• Utilizzare tronchesi a filo e poi un coltello e una lima per *rimuovere* il “bump-out” interno in ABS in modo che la grande batteria USB-C si adagi piatta sul distanziatore.
+• Intagliare due canali paralleli nella parete dell'involucro per il cavo USB-C; questo blocca la batteria in posizione ed elimina movimento/vibrazione.
+• Creare un'apertura rettangolare per il pulsante di **alimentazione** della batteria:
+1. Attaccare uno stencil di carta sopra la posizione.
+2. Forare fori pilota da 1/16″ in tutti e quattro gli angoli.
+3. Allargare con una punta da 1/8″.
+4. Unire i fori con un seghetto; rifinire i bordi con una lima.
+✱  Un Dremel rotativo è stato *evitato* – la punta ad alta velocità fonde l'ABS spesso e lascia un bordo brutto.
+
+## 4. Assemblaggio Finale
+
+1. Reinstallare la scheda logica del MaxiProx e risaldare il pigtail SMA al pad di massa della PCB del lettore.
+2. Montare l'ESP RFID Tool e il trigger USB-PD utilizzando 3 M VHB.
+3. Sistemare tutti i cablaggi con fascette, mantenendo i cavi di alimentazione **lontani** dal loop dell'antenna.
+4. Serrare le viti dell'involucro fino a quando la batteria è leggermente compressa; l'attrito interno impedisce al pacco di spostarsi quando il dispositivo si ritrae dopo ogni lettura della carta.
+
+## 5. Test di Portata e Schermatura
+
+* Utilizzando una carta di test **Pupa** da 125 kHz, il cloner portatile ha ottenuto letture costanti a **≈ 8 cm** in aria libera – identico al funzionamento alimentato a rete.
+* Posizionando il lettore all'interno di una cassetta di metallo a parete sottile (per simulare un banco di lobby di una banca) la portata è stata ridotta a ≤ 2 cm, confermando che involucri metallici sostanziali agiscono come efficaci schermi RF.
+
+## Flusso di Utilizzo
+
+1. Caricare la batteria USB-C, collegarla e attivare l'interruttore di alimentazione principale.
+2. (Opzionale) Aprire la protezione del beeper e abilitare il feedback acustico durante il test in laboratorio; bloccarlo prima dell'uso furtivo sul campo.
+3. Passare accanto al titolare del badge target – il MaxiProx energizzerà la carta e l'ESP RFID Tool catturerà il flusso Wiegand.
+4. Scaricare le credenziali catturate tramite Wi-Fi o USB-UART e riprodurre/clonare secondo necessità.
+
+## Risoluzione dei Problemi
+
+| Sintomo | Probabile Causa | Soluzione |
+|---------|------------------|-----------|
+| Il lettore si riavvia quando viene presentata la carta | Il trigger PD ha negoziato 9 V invece di 12 V | Verificare i jumper del trigger / provare un cavo USB-C ad alta potenza |
+| Nessuna portata di lettura | Batteria o cablaggio posizionati *sopra* l'antenna | Riposizionare i cavi e mantenere 2 cm di distanza attorno al loop in ferrite |
+| Il beeper continua a suonare | Interruttore cablato sul cavo positivo invece che su quello negativo | Spostare l'interruttore di disattivazione per interrompere il **traccia** del diffusore negativo |
+
+## Riferimenti
+
+- [Let’s Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together)
+
+{{#include ../../banners/hacktricks-training.md}}
--- a/src/todo/radio-hacking/pentesting-rfid.md
+++ b/src/todo/radio-hacking/pentesting-rfid.md
@ -12,22 +12,22 @@ Un tag RFID può fare affidamento su **una propria fonte di alimentazione (attiv

 EPCglobal suddivide i tag RFID in sei categorie. Un tag in ciascuna categoria ha tutte le capacità elencate nella categoria precedente, rendendolo retrocompatibile.

- I tag **Classe 0** sono tag **passivi** che operano nelle bande **UHF**. Il fornitore **li preprogramma** nella fabbrica di produzione. Di conseguenza, non **puoi cambiare** le informazioni memorizzate nella loro memoria.
- I tag **Classe 1** possono operare anche nelle bande **HF**. Inoltre, possono essere **scritti solo una volta** dopo la produzione. Molti tag di Classe 1 possono anche elaborare **controlli di ridondanza ciclica** (CRC) dei comandi che ricevono. I CRC sono alcuni byte extra alla fine dei comandi per la rilevazione degli errori.
- I tag **Classe 2** possono essere **scritti più volte**.
- I tag **Classe 3** possono contenere **sensori integrati** che possono registrare parametri ambientali, come la temperatura attuale o il movimento del tag. Questi tag sono **semi-passivi**, perché sebbene **abbiano** una fonte di alimentazione integrata, come una **batteria** integrata, non **possono iniziare** comunicazioni wireless con altri tag o lettori.
- I tag **Classe 4** possono iniziare comunicazioni con altri tag della stessa classe, rendendoli **tag attivi**.
- I tag **Classe 5** possono fornire **energia ad altri tag e comunicare con tutte le classi di tag precedenti**. I tag di Classe 5 possono fungere da **lettori RFID**.
+- I tag di **Classe 0** sono tag **passivi** che operano nelle bande **UHF**. Il fornitore **li preprogramma** nella fabbrica di produzione. Di conseguenza, non **puoi cambiare** le informazioni memorizzate nella loro memoria.
+- I tag di **Classe 1** possono anche operare nelle bande **HF**. Inoltre, possono essere **scritti solo una volta** dopo la produzione. Molti tag di Classe 1 possono anche elaborare **controlli di ridondanza ciclica** (CRC) dei comandi che ricevono. I CRC sono alcuni byte extra alla fine dei comandi per la rilevazione degli errori.
+- I tag di **Classe 2** possono essere **scritti più volte**.
+- I tag di **Classe 3** possono contenere **sensori integrati** che possono registrare parametri ambientali, come la temperatura attuale o il movimento del tag. Questi tag sono **semi-passivi**, perché sebbene **abbiano** una fonte di alimentazione integrata, come una **batteria** integrata, non **possono iniziare** la **comunicazione** wireless con altri tag o lettori.
+- I tag di **Classe 4** possono iniziare la comunicazione con altri tag della stessa classe, rendendoli **tag attivi**.
+- I tag di **Classe 5** possono fornire **energia ad altri tag e comunicare con tutte le classi di tag** precedenti. I tag di Classe 5 possono agire come **lettori RFID**.

-### Informazioni memorizzate nei tag RFID
+### Informazioni Memorizzate nei Tag RFID

-La memoria di un tag RFID di solito memorizza quattro tipi di dati: i **dati di identificazione**, che **identificano** l'**entità** a cui è attaccato il tag (questi dati includono campi definiti dall'utente, come conti bancari); i **dati supplementari**, che forniscono **ulteriori** **dettagli** riguardo all'entità; i **dati di controllo**, utilizzati per la **configurazione** interna del tag; e i **dati del produttore** del tag, che contengono un Identificatore Unico del tag (**UID**) e dettagli riguardanti la **produzione**, il **tipo** e il **fornitore** del tag. Troverai i primi due tipi di dati in tutti i tag commerciali; gli ultimi due possono differire in base al fornitore del tag.
+La memoria di un tag RFID di solito memorizza quattro tipi di dati: i **dati di identificazione**, che **identificano** l'**entità** a cui il tag è attaccato (questi dati includono campi definiti dall'utente, come conti bancari); i **dati supplementari**, che forniscono **ulteriori** **dettagli** riguardo l'entità; i **dati di controllo**, utilizzati per la **configurazione** interna del tag; e i **dati del produttore** del tag, che contengono un Identificatore Unico del tag (**UID**) e dettagli riguardo la **produzione**, il **tipo** e il **fornitore** del tag. Troverai i primi due tipi di dati in tutti i tag commerciali; gli ultimi due possono differire in base al fornitore del tag.

 Lo standard ISO specifica il valore dell'Identificatore della Famiglia di Applicazione (**AFI**), un codice che indica il **tipo di oggetto** a cui appartiene il tag. Un altro registro importante, anch'esso specificato dall'ISO, è l'Identificatore del Formato di Memorizzazione dei Dati (**DSFID**), che definisce la **organizzazione logica dei dati utente**.

-La maggior parte dei **controlli di sicurezza RFID** ha meccanismi che **limitano** le operazioni di **lettura** o **scrittura** su ciascun blocco di memoria utente e sui registri speciali contenenti i valori AFI e DSFID. Questi **meccanismi di blocco** utilizzano dati memorizzati nella memoria di controllo e hanno **password predefinite** preconfigurate dal fornitore, ma consentono ai proprietari del tag di **configurare password personalizzate**.
+La maggior parte dei **controlli di sicurezza** RFID ha meccanismi che **limitano** le operazioni di **lettura** o **scrittura** su ciascun blocco di memoria utente e sui registri speciali contenenti i valori AFI e DSFID. Questi **meccanismi di blocco** utilizzano dati memorizzati nella memoria di controllo e hanno **password predefinite** preconfigurate dal fornitore, ma consentono ai proprietari del tag di **configurare password personalizzate**.

-### Confronto tra tag a bassa e alta frequenza
+### Confronto tra Tag a Bassa e Alta Frequenza

 <figure><img src="../../images/image (983).png" alt=""><figcaption></figcaption></figure>

@ -35,7 +35,7 @@ La maggior parte dei **controlli di sicurezza RFID** ha meccanismi che **limitan

 I **tag a bassa frequenza** sono spesso utilizzati in sistemi che **non richiedono alta sicurezza**: accesso agli edifici, chiavi per citofoni, carte di abbonamento in palestra, ecc. A causa della loro maggiore portata, sono comodi da usare per il parcheggio a pagamento: il conducente non deve avvicinare la carta al lettore, poiché viene attivata da una distanza maggiore. Allo stesso tempo, i tag a bassa frequenza sono molto primitivi, hanno una bassa velocità di trasferimento dati. Per questo motivo, è impossibile implementare un complesso trasferimento dati bidirezionale per cose come il mantenimento del saldo e la crittografia. I tag a bassa frequenza trasmettono solo il loro breve ID senza alcun mezzo di autenticazione.

-Questi dispositivi si basano sulla tecnologia **RFID passiva** e operano in un **intervallo di 30 kHz a 300 kHz**, anche se è più comune utilizzare 125 kHz a 134 kHz:
+Questi dispositivi si basano sulla tecnologia **RFID** **passiva** e operano in un **intervallo di 30 kHz a 300 kHz**, anche se è più comune utilizzare 125 kHz a 134 kHz:

 - **Lunga distanza** — una frequenza più bassa si traduce in una maggiore portata. Ci sono alcuni lettori EM-Marin e HID, che funzionano da una distanza di fino a un metro. Questi sono spesso utilizzati nei parcheggi.
 - **Protocollo primitivo** — a causa della bassa velocità di trasferimento dati, questi tag possono trasmettere solo il loro breve ID. Nella maggior parte dei casi, i dati non sono autenticati e non sono protetti in alcun modo. Non appena la carta è nel raggio del lettore, inizia semplicemente a trasmettere il suo ID.
@ -45,7 +45,7 @@ Questi dispositivi si basano sulla tecnologia **RFID passiva** e operano in un *

 - **EM-Marin** — EM4100, EM4102. Il protocollo più popolare nella CIS. Può essere letto da circa un metro grazie alla sua semplicità e stabilità.
 - **HID Prox II** — protocollo a bassa frequenza introdotto da HID Global. Questo protocollo è più popolare nei paesi occidentali. È più complesso e le carte e i lettori per questo protocollo sono relativamente costosi.
- **Indala** — protocollo a bassa frequenza molto vecchio introdotto da Motorola, e successivamente acquisito da HID. È meno probabile che tu lo incontri in natura rispetto ai precedenti due perché sta cadendo in disuso.
+- **Indala** — protocollo a bassa frequenza molto vecchio introdotto da Motorola, e successivamente acquisito da HID. È meno probabile che tu lo incontri nel mondo reale rispetto ai precedenti due perché sta cadendo in disuso.

 In realtà, ci sono molti più protocolli a bassa frequenza. Ma utilizzano tutti la stessa modulazione sul livello fisico e possono essere considerati, in un modo o nell'altro, una variazione di quelli elencati sopra.

@ -74,9 +74,9 @@ Tutte le carte ad alta frequenza basate sullo standard ISO 14443-A hanno un ID c

 Ci sono molti sistemi di controllo accessi che si basano sull'UID per **autenticare e concedere accesso**. A volte questo avviene **anche** quando i tag RFID **supportano la crittografia**. Tale **uso improprio** li riduce al livello delle stupide **carte da 125 kHz** in termini di **sicurezza**. Le carte virtuali (come Apple Pay) utilizzano un UID dinamico in modo che i proprietari dei telefoni non possano aprire porte con la loro app di pagamento.

- **Bassa portata** — le carte ad alta frequenza sono specificamente progettate per essere posizionate vicino al lettore. Questo aiuta anche a proteggere la carta da interazioni non autorizzate. La massima portata di lettura che siamo riusciti a raggiungere è stata di circa 15 cm, e ciò è avvenuto con lettori ad alta portata realizzati su misura.
+- **Bassa portata** — le carte ad alta frequenza sono progettate specificamente in modo che debbano essere posizionate vicino al lettore. Questo aiuta anche a proteggere la carta da interazioni non autorizzate. La massima portata di lettura che siamo riusciti a raggiungere è stata di circa 15 cm, e questo è stato con lettori ad alta portata realizzati su misura.
 - **Protocolli avanzati** — velocità di trasferimento dati fino a 424 kbps consentono protocolli complessi con trasferimento dati bidirezionale completo. Che a sua volta **consente la crittografia**, il trasferimento di dati, ecc.
- **Alta sicurezza** — le carte contactless ad alta frequenza non sono in alcun modo inferiori alle smart card. Ci sono carte che supportano algoritmi crittografici robusti come AES e implementano crittografia asimmetrica.
+- **Alta sicurezza** — le carte contactless ad alta frequenza non sono in alcun modo inferiori alle smart card. Ci sono carte che supportano algoritmi crittograficamente forti come AES e implementano crittografia asimmetrica.

 ### Attacco

@ -92,8 +92,19 @@ Oppure usando il **proxmark**:
 proxmark-3.md
 {{#endref}}

+### Costruire un Cloner Mobile HID MaxiProx 125 kHz
+
+Se hai bisogno di una soluzione **a lungo raggio**, **alimentata a batteria** per raccogliere i badge HID Prox® durante gli ingaggi di red-team, puoi convertire il lettore **HID MaxiProx 5375** montato a parete in un cloner autonomo che si adatta a uno zaino. La guida meccanica ed elettrica completa è disponibile qui:
+
+{{#ref}}
+maxiprox-mobile-cloner.md
+{{#endref}}
+
+---
+
 ## Riferimenti

 - [https://blog.flipperzero.one/rfid/](https://blog.flipperzero.one/rfid/)
+- [Let's Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together)

 {{#include ../../banners/hacktricks-training.md}}