From 340d451be5a76f213ee596d60cbb86ddae9a9dbe Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 4 Aug 2025 10:35:44 +0000 Subject: [PATCH] Translated ['src/todo/radio-hacking/maxiprox-mobile-cloner.md', 'src/tod --- src/SUMMARY.md | 1 + .../radio-hacking/maxiprox-mobile-cloner.md | 84 +++++++++++++++++++ src/todo/radio-hacking/pentesting-rfid.md | 39 +++++---- 3 files changed, 110 insertions(+), 14 deletions(-) create mode 100644 src/todo/radio-hacking/maxiprox-mobile-cloner.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index df1a7762a..ad779f71c 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -887,6 +887,7 @@ - [Industrial Control Systems Hacking](todo/industrial-control-systems-hacking/README.md) - [Modbus Protocol](todo/industrial-control-systems-hacking/modbus.md) - [Radio Hacking](todo/radio-hacking/README.md) + - [Maxiprox Mobile Cloner](todo/radio-hacking/maxiprox-mobile-cloner.md) - [Pentesting RFID](todo/radio-hacking/pentesting-rfid.md) - [Infrared](todo/radio-hacking/infrared.md) - [Sub-GHz RF](todo/radio-hacking/sub-ghz-rf.md) diff --git a/src/todo/radio-hacking/maxiprox-mobile-cloner.md b/src/todo/radio-hacking/maxiprox-mobile-cloner.md new file mode 100644 index 000000000..56a8d02b6 --- /dev/null +++ b/src/todo/radio-hacking/maxiprox-mobile-cloner.md @@ -0,0 +1,84 @@ +# Costruire un Cloner Mobile HID MaxiProx 125 kHz Portatile + +{{#include ../../banners/hacktricks-training.md}} + +## Obiettivo +Trasformare un lettore HID MaxiProx 5375 a lungo raggio da 125 kHz alimentato a rete in un cloner di badge portatile, alimentato a batteria, che raccoglie silenziosamente le carte di prossimità durante le valutazioni di sicurezza fisica. + +La conversione trattata qui si basa sulla serie di ricerche di TrustedSec “Let’s Clone a Cloner – Part 3: Putting It All Together” e combina considerazioni meccaniche, elettriche e RF affinché il dispositivo finale possa essere riposto in uno zaino e utilizzato immediatamente sul campo. + +> [!warning] +> Manipolare attrezzature alimentate a rete e power bank agli ioni di litio può essere pericoloso. Verifica ogni connessione **prima** di energizzare il circuito e mantieni le antenne, il coassiale e i piani di massa esattamente come erano nel design di fabbrica per evitare di disaccordare il lettore. + +## Distinta dei Materiali (BOM) + +* Lettore HID MaxiProx 5375 (o qualsiasi lettore HID Prox® a lungo raggio da 12 V) +* ESP RFID Tool v2.2 (sniffer/logger Wiegand basato su ESP32) +* Modulo trigger USB-PD (Power-Delivery) in grado di negoziare 12 V @ ≥3 A +* Power bank USB-C da 100 W (fornisce profilo PD a 12 V) +* Filo di collegamento in silicone da 26 AWG – rosso/bianco +* Interruttore a levetta SPST da pannello (per interruttore di disattivazione del beeper) +* Cappuccio di protezione NKK AT4072 / cappuccio anti-incidenti +* Saldatore, treccia per dissaldare e pompa per dissaldare +* Utensili manuali in ABS: seghetto, coltello multiuso, lime piatte e a mezzo tondo +* Punte da trapano da 1/16″ (1,5 mm) e 1/8″ (3 mm) +* Nastro biadesivo 3 M VHB e fascette + +## 1. Sottosistema di Alimentazione + +1. Dissaldare e rimuovere la scheda figlia del convertitore buck di fabbrica utilizzata per generare 5 V per la PCB logica. +2. Montare un trigger USB-PD accanto all'ESP RFID Tool e portare il connettore USB-C del trigger all'esterno dell'involucro. +3. Il trigger PD negozia 12 V dal power bank e lo fornisce direttamente al MaxiProx (il lettore si aspetta nativamente 10–14 V). Una linea secondaria da 5 V è prelevata dalla scheda ESP per alimentare eventuali accessori. +4. Il pacco batteria da 100 W è posizionato a filo contro il distanziatore interno in modo che non ci siano **cavi di alimentazione** appesi all'antenna in ferrite, preservando le prestazioni RF. + +## 2. Interruttore di Disattivazione del Beeper – Funzionamento Silenzioso + +1. Individuare i due pad del diffusore sulla scheda logica del MaxiProx. +2. Pulire *entrambi* i pad, quindi risaldare solo il pad **negativo**. +3. Saldare fili da 26 AWG (bianco = negativo, rosso = positivo) ai pad del beeper e portarli attraverso una fessura appena tagliata a un interruttore SPST da pannello. +4. Quando l'interruttore è aperto, il circuito del beeper è interrotto e il lettore funziona in completo silenzio – ideale per la raccolta furtiva di badge. +5. Montare un cappuccio di sicurezza a molla NKK AT4072 sopra l'interruttore. Allargare con attenzione il foro con un seghetto / lima fino a farlo scattare sopra il corpo dell'interruttore. La protezione previene attivazioni accidentali all'interno di uno zaino. + +## 3. Involucro e Lavoro Meccanico + +• Utilizzare tronchesi a filo e poi un coltello e una lima per *rimuovere* il “bump-out” interno in ABS in modo che la grande batteria USB-C si adagi piatta sul distanziatore. +• Intagliare due canali paralleli nella parete dell'involucro per il cavo USB-C; questo blocca la batteria in posizione ed elimina movimento/vibrazione. +• Creare un'apertura rettangolare per il pulsante di **alimentazione** della batteria: +1. Attaccare uno stencil di carta sopra la posizione. +2. Forare fori pilota da 1/16″ in tutti e quattro gli angoli. +3. Allargare con una punta da 1/8″. +4. Unire i fori con un seghetto; rifinire i bordi con una lima. +✱ Un Dremel rotativo è stato *evitato* – la punta ad alta velocità fonde l'ABS spesso e lascia un bordo brutto. + +## 4. Assemblaggio Finale + +1. Reinstallare la scheda logica del MaxiProx e risaldare il pigtail SMA al pad di massa della PCB del lettore. +2. Montare l'ESP RFID Tool e il trigger USB-PD utilizzando 3 M VHB. +3. Sistemare tutti i cablaggi con fascette, mantenendo i cavi di alimentazione **lontani** dal loop dell'antenna. +4. Serrare le viti dell'involucro fino a quando la batteria è leggermente compressa; l'attrito interno impedisce al pacco di spostarsi quando il dispositivo si ritrae dopo ogni lettura della carta. + +## 5. Test di Portata e Schermatura + +* Utilizzando una carta di test **Pupa** da 125 kHz, il cloner portatile ha ottenuto letture costanti a **≈ 8 cm** in aria libera – identico al funzionamento alimentato a rete. +* Posizionando il lettore all'interno di una cassetta di metallo a parete sottile (per simulare un banco di lobby di una banca) la portata è stata ridotta a ≤ 2 cm, confermando che involucri metallici sostanziali agiscono come efficaci schermi RF. + +## Flusso di Utilizzo + +1. Caricare la batteria USB-C, collegarla e attivare l'interruttore di alimentazione principale. +2. (Opzionale) Aprire la protezione del beeper e abilitare il feedback acustico durante il test in laboratorio; bloccarlo prima dell'uso furtivo sul campo. +3. Passare accanto al titolare del badge target – il MaxiProx energizzerà la carta e l'ESP RFID Tool catturerà il flusso Wiegand. +4. Scaricare le credenziali catturate tramite Wi-Fi o USB-UART e riprodurre/clonare secondo necessità. + +## Risoluzione dei Problemi + +| Sintomo | Probabile Causa | Soluzione | +|---------|------------------|-----------| +| Il lettore si riavvia quando viene presentata la carta | Il trigger PD ha negoziato 9 V invece di 12 V | Verificare i jumper del trigger / provare un cavo USB-C ad alta potenza | +| Nessuna portata di lettura | Batteria o cablaggio posizionati *sopra* l'antenna | Riposizionare i cavi e mantenere 2 cm di distanza attorno al loop in ferrite | +| Il beeper continua a suonare | Interruttore cablato sul cavo positivo invece che su quello negativo | Spostare l'interruttore di disattivazione per interrompere il **traccia** del diffusore negativo | + +## Riferimenti + +- [Let’s Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together) + +{{#include ../../banners/hacktricks-training.md}} diff --git a/src/todo/radio-hacking/pentesting-rfid.md b/src/todo/radio-hacking/pentesting-rfid.md index 1eb13b767..9f5bdde6d 100644 --- a/src/todo/radio-hacking/pentesting-rfid.md +++ b/src/todo/radio-hacking/pentesting-rfid.md @@ -12,22 +12,22 @@ Un tag RFID può fare affidamento su **una propria fonte di alimentazione (attiv EPCglobal suddivide i tag RFID in sei categorie. Un tag in ciascuna categoria ha tutte le capacità elencate nella categoria precedente, rendendolo retrocompatibile. -- I tag **Classe 0** sono tag **passivi** che operano nelle bande **UHF**. Il fornitore **li preprogramma** nella fabbrica di produzione. Di conseguenza, non **puoi cambiare** le informazioni memorizzate nella loro memoria. -- I tag **Classe 1** possono operare anche nelle bande **HF**. Inoltre, possono essere **scritti solo una volta** dopo la produzione. Molti tag di Classe 1 possono anche elaborare **controlli di ridondanza ciclica** (CRC) dei comandi che ricevono. I CRC sono alcuni byte extra alla fine dei comandi per la rilevazione degli errori. -- I tag **Classe 2** possono essere **scritti più volte**. -- I tag **Classe 3** possono contenere **sensori integrati** che possono registrare parametri ambientali, come la temperatura attuale o il movimento del tag. Questi tag sono **semi-passivi**, perché sebbene **abbiano** una fonte di alimentazione integrata, come una **batteria** integrata, non **possono iniziare** comunicazioni wireless con altri tag o lettori. -- I tag **Classe 4** possono iniziare comunicazioni con altri tag della stessa classe, rendendoli **tag attivi**. -- I tag **Classe 5** possono fornire **energia ad altri tag e comunicare con tutte le classi di tag precedenti**. I tag di Classe 5 possono fungere da **lettori RFID**. +- I tag di **Classe 0** sono tag **passivi** che operano nelle bande **UHF**. Il fornitore **li preprogramma** nella fabbrica di produzione. Di conseguenza, non **puoi cambiare** le informazioni memorizzate nella loro memoria. +- I tag di **Classe 1** possono anche operare nelle bande **HF**. Inoltre, possono essere **scritti solo una volta** dopo la produzione. Molti tag di Classe 1 possono anche elaborare **controlli di ridondanza ciclica** (CRC) dei comandi che ricevono. I CRC sono alcuni byte extra alla fine dei comandi per la rilevazione degli errori. +- I tag di **Classe 2** possono essere **scritti più volte**. +- I tag di **Classe 3** possono contenere **sensori integrati** che possono registrare parametri ambientali, come la temperatura attuale o il movimento del tag. Questi tag sono **semi-passivi**, perché sebbene **abbiano** una fonte di alimentazione integrata, come una **batteria** integrata, non **possono iniziare** la **comunicazione** wireless con altri tag o lettori. +- I tag di **Classe 4** possono iniziare la comunicazione con altri tag della stessa classe, rendendoli **tag attivi**. +- I tag di **Classe 5** possono fornire **energia ad altri tag e comunicare con tutte le classi di tag** precedenti. I tag di Classe 5 possono agire come **lettori RFID**. -### Informazioni memorizzate nei tag RFID +### Informazioni Memorizzate nei Tag RFID -La memoria di un tag RFID di solito memorizza quattro tipi di dati: i **dati di identificazione**, che **identificano** l'**entità** a cui è attaccato il tag (questi dati includono campi definiti dall'utente, come conti bancari); i **dati supplementari**, che forniscono **ulteriori** **dettagli** riguardo all'entità; i **dati di controllo**, utilizzati per la **configurazione** interna del tag; e i **dati del produttore** del tag, che contengono un Identificatore Unico del tag (**UID**) e dettagli riguardanti la **produzione**, il **tipo** e il **fornitore** del tag. Troverai i primi due tipi di dati in tutti i tag commerciali; gli ultimi due possono differire in base al fornitore del tag. +La memoria di un tag RFID di solito memorizza quattro tipi di dati: i **dati di identificazione**, che **identificano** l'**entità** a cui il tag è attaccato (questi dati includono campi definiti dall'utente, come conti bancari); i **dati supplementari**, che forniscono **ulteriori** **dettagli** riguardo l'entità; i **dati di controllo**, utilizzati per la **configurazione** interna del tag; e i **dati del produttore** del tag, che contengono un Identificatore Unico del tag (**UID**) e dettagli riguardo la **produzione**, il **tipo** e il **fornitore** del tag. Troverai i primi due tipi di dati in tutti i tag commerciali; gli ultimi due possono differire in base al fornitore del tag. Lo standard ISO specifica il valore dell'Identificatore della Famiglia di Applicazione (**AFI**), un codice che indica il **tipo di oggetto** a cui appartiene il tag. Un altro registro importante, anch'esso specificato dall'ISO, è l'Identificatore del Formato di Memorizzazione dei Dati (**DSFID**), che definisce la **organizzazione logica dei dati utente**. -La maggior parte dei **controlli di sicurezza RFID** ha meccanismi che **limitano** le operazioni di **lettura** o **scrittura** su ciascun blocco di memoria utente e sui registri speciali contenenti i valori AFI e DSFID. Questi **meccanismi di blocco** utilizzano dati memorizzati nella memoria di controllo e hanno **password predefinite** preconfigurate dal fornitore, ma consentono ai proprietari del tag di **configurare password personalizzate**. +La maggior parte dei **controlli di sicurezza** RFID ha meccanismi che **limitano** le operazioni di **lettura** o **scrittura** su ciascun blocco di memoria utente e sui registri speciali contenenti i valori AFI e DSFID. Questi **meccanismi di blocco** utilizzano dati memorizzati nella memoria di controllo e hanno **password predefinite** preconfigurate dal fornitore, ma consentono ai proprietari del tag di **configurare password personalizzate**. -### Confronto tra tag a bassa e alta frequenza +### Confronto tra Tag a Bassa e Alta Frequenza
@@ -35,7 +35,7 @@ La maggior parte dei **controlli di sicurezza RFID** ha meccanismi che **limitan I **tag a bassa frequenza** sono spesso utilizzati in sistemi che **non richiedono alta sicurezza**: accesso agli edifici, chiavi per citofoni, carte di abbonamento in palestra, ecc. A causa della loro maggiore portata, sono comodi da usare per il parcheggio a pagamento: il conducente non deve avvicinare la carta al lettore, poiché viene attivata da una distanza maggiore. Allo stesso tempo, i tag a bassa frequenza sono molto primitivi, hanno una bassa velocità di trasferimento dati. Per questo motivo, è impossibile implementare un complesso trasferimento dati bidirezionale per cose come il mantenimento del saldo e la crittografia. I tag a bassa frequenza trasmettono solo il loro breve ID senza alcun mezzo di autenticazione. -Questi dispositivi si basano sulla tecnologia **RFID passiva** e operano in un **intervallo di 30 kHz a 300 kHz**, anche se è più comune utilizzare 125 kHz a 134 kHz: +Questi dispositivi si basano sulla tecnologia **RFID** **passiva** e operano in un **intervallo di 30 kHz a 300 kHz**, anche se è più comune utilizzare 125 kHz a 134 kHz: - **Lunga distanza** — una frequenza più bassa si traduce in una maggiore portata. Ci sono alcuni lettori EM-Marin e HID, che funzionano da una distanza di fino a un metro. Questi sono spesso utilizzati nei parcheggi. - **Protocollo primitivo** — a causa della bassa velocità di trasferimento dati, questi tag possono trasmettere solo il loro breve ID. Nella maggior parte dei casi, i dati non sono autenticati e non sono protetti in alcun modo. Non appena la carta è nel raggio del lettore, inizia semplicemente a trasmettere il suo ID. @@ -45,7 +45,7 @@ Questi dispositivi si basano sulla tecnologia **RFID passiva** e operano in un * - **EM-Marin** — EM4100, EM4102. Il protocollo più popolare nella CIS. Può essere letto da circa un metro grazie alla sua semplicità e stabilità. - **HID Prox II** — protocollo a bassa frequenza introdotto da HID Global. Questo protocollo è più popolare nei paesi occidentali. È più complesso e le carte e i lettori per questo protocollo sono relativamente costosi. -- **Indala** — protocollo a bassa frequenza molto vecchio introdotto da Motorola, e successivamente acquisito da HID. È meno probabile che tu lo incontri in natura rispetto ai precedenti due perché sta cadendo in disuso. +- **Indala** — protocollo a bassa frequenza molto vecchio introdotto da Motorola, e successivamente acquisito da HID. È meno probabile che tu lo incontri nel mondo reale rispetto ai precedenti due perché sta cadendo in disuso. In realtà, ci sono molti più protocolli a bassa frequenza. Ma utilizzano tutti la stessa modulazione sul livello fisico e possono essere considerati, in un modo o nell'altro, una variazione di quelli elencati sopra. @@ -74,9 +74,9 @@ Tutte le carte ad alta frequenza basate sullo standard ISO 14443-A hanno un ID c Ci sono molti sistemi di controllo accessi che si basano sull'UID per **autenticare e concedere accesso**. A volte questo avviene **anche** quando i tag RFID **supportano la crittografia**. Tale **uso improprio** li riduce al livello delle stupide **carte da 125 kHz** in termini di **sicurezza**. Le carte virtuali (come Apple Pay) utilizzano un UID dinamico in modo che i proprietari dei telefoni non possano aprire porte con la loro app di pagamento. -- **Bassa portata** — le carte ad alta frequenza sono specificamente progettate per essere posizionate vicino al lettore. Questo aiuta anche a proteggere la carta da interazioni non autorizzate. La massima portata di lettura che siamo riusciti a raggiungere è stata di circa 15 cm, e ciò è avvenuto con lettori ad alta portata realizzati su misura. +- **Bassa portata** — le carte ad alta frequenza sono progettate specificamente in modo che debbano essere posizionate vicino al lettore. Questo aiuta anche a proteggere la carta da interazioni non autorizzate. La massima portata di lettura che siamo riusciti a raggiungere è stata di circa 15 cm, e questo è stato con lettori ad alta portata realizzati su misura. - **Protocolli avanzati** — velocità di trasferimento dati fino a 424 kbps consentono protocolli complessi con trasferimento dati bidirezionale completo. Che a sua volta **consente la crittografia**, il trasferimento di dati, ecc. -- **Alta sicurezza** — le carte contactless ad alta frequenza non sono in alcun modo inferiori alle smart card. Ci sono carte che supportano algoritmi crittografici robusti come AES e implementano crittografia asimmetrica. +- **Alta sicurezza** — le carte contactless ad alta frequenza non sono in alcun modo inferiori alle smart card. Ci sono carte che supportano algoritmi crittograficamente forti come AES e implementano crittografia asimmetrica. ### Attacco @@ -92,8 +92,19 @@ Oppure usando il **proxmark**: proxmark-3.md {{#endref}} +### Costruire un Cloner Mobile HID MaxiProx 125 kHz + +Se hai bisogno di una soluzione **a lungo raggio**, **alimentata a batteria** per raccogliere i badge HID Prox® durante gli ingaggi di red-team, puoi convertire il lettore **HID MaxiProx 5375** montato a parete in un cloner autonomo che si adatta a uno zaino. La guida meccanica ed elettrica completa è disponibile qui: + +{{#ref}} +maxiprox-mobile-cloner.md +{{#endref}} + +--- + ## Riferimenti - [https://blog.flipperzero.one/rfid/](https://blog.flipperzero.one/rfid/) +- [Let's Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together) {{#include ../../banners/hacktricks-training.md}}