From acf28fafe750b0bfdee91a27e2d458fd2fe3640c Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 4 Aug 2025 10:36:22 +0000 Subject: [PATCH] Translated ['src/todo/radio-hacking/maxiprox-mobile-cloner.md', 'src/tod --- src/SUMMARY.md | 1 + .../radio-hacking/maxiprox-mobile-cloner.md | 84 +++++++++++++++++++ src/todo/radio-hacking/pentesting-rfid.md | 37 +++++--- 3 files changed, 109 insertions(+), 13 deletions(-) create mode 100644 src/todo/radio-hacking/maxiprox-mobile-cloner.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index df1a7762a..ad779f71c 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -887,6 +887,7 @@ - [Industrial Control Systems Hacking](todo/industrial-control-systems-hacking/README.md) - [Modbus Protocol](todo/industrial-control-systems-hacking/modbus.md) - [Radio Hacking](todo/radio-hacking/README.md) + - [Maxiprox Mobile Cloner](todo/radio-hacking/maxiprox-mobile-cloner.md) - [Pentesting RFID](todo/radio-hacking/pentesting-rfid.md) - [Infrared](todo/radio-hacking/infrared.md) - [Sub-GHz RF](todo/radio-hacking/sub-ghz-rf.md) diff --git a/src/todo/radio-hacking/maxiprox-mobile-cloner.md b/src/todo/radio-hacking/maxiprox-mobile-cloner.md new file mode 100644 index 000000000..914833856 --- /dev/null +++ b/src/todo/radio-hacking/maxiprox-mobile-cloner.md @@ -0,0 +1,84 @@ +# ポータブル HID MaxiProx 125 kHz モバイルクローンの構築 + +{{#include ../../banners/hacktricks-training.md}} + +## 目標 +メイン電源で動作する HID MaxiProx 5375 ロングレンジ 125 kHz リーダーを、物理セキュリティ評価中に近接カードを静かに収集するフィールド展開可能なバッテリー駆動のバッジクローンに変換します。 + +ここで説明する変換は、TrustedSec の「Let’s Clone a Cloner – Part 3: Putting It All Together」研究シリーズに基づいており、最終的なデバイスがバックパックに入れられ、現場で即座に使用できるように、機械的、電気的、RF の考慮事項を組み合わせています。 + +> [!warning] +> メイン電源で動作する機器やリチウムイオン電源バンクを操作することは危険です。回路に電源を入れる前に**すべての接続を確認**し、リーダーの調整を避けるためにアンテナ、同軸ケーブル、接地プレーンを工場設計のままに保ってください。 + +## 材料費用明細書 (BOM) + +* HID MaxiProx 5375 リーダー(または任意の 12 V HID Prox® ロングレンジリーダー) +* ESP RFID Tool v2.2 (ESP32ベースのWiegandスニファー/ロガー) +* 12 V @ ≥3 A を交渉できる USB-PD (Power-Delivery) トリガーモジュール +* 100 W USB-C パワーバンク(12 V PD プロファイル出力) +* 26 AWG シリコン絶縁フックアップワイヤー – 赤/白 +* パネルマウント SPST トグルスイッチ(ビーパーキルスイッチ用) +* NKK AT4072 スイッチガード / 事故防止キャップ +* ハンダごて、ハンダ吸い取り線 & 吸い取りポンプ +* ABS 評価の手工具:コーピングソー、ユーティリティナイフ、平ファイル & 半丸ファイル +* ドリルビット 1/16″ (1.5 mm) と 1/8″ (3 mm) +* 3 M VHB 両面テープ & ジップタイ + +## 1. 電源サブシステム + +1. 論理 PCB 用に 5 V を生成するために使用される工場のバッカンバーを脱ハンダして取り外します。 +2. ESP RFID Tool の隣に USB-PD トリガーを取り付け、トリガーの USB-C 受信口をエンクロージャの外側にルーティングします。 +3. PD トリガーはパワーバンクから 12 V を交渉し、直接 MaxiProx に供給します(リーダーは本来 10–14 V を期待します)。 ESP ボードから 5 V のセカンダリレールを取り出して、アクセサリに電力を供給します。 +4. 100 W バッテリーパックは内部スタンドオフにフラッシュに配置され、フェライトアンテナに電源ケーブルがかからないようにして RF 性能を保持します。 + +## 2. ビーパーキルスイッチ – サイレントオペレーション + +1. MaxiProx 論理基板上の 2 つのスピーカーパッドを見つけます。 +2. *両方*のパッドをきれいにし、**負**のパッドのみを再ハンダします。 +3. ビーパー パッドに 26 AWG ワイヤー(白 = 負、赤 = 正)をハンダ付けし、新たに切ったスロットを通してパネルマウント SPST スイッチにルーティングします。 +4. スイッチがオープンのとき、ビーパー回路は切断され、リーダーは完全に静かに動作します – 秘密のバッジ収集に最適です。 +5. トグルの上に NKK AT4072 スプリングローデッドセーフティキャップを取り付けます。コーピングソー/ファイルで穴を慎重に広げ、スイッチ本体にスナップするまで広げます。ガードはバックパック内での誤作動を防ぎます。 + +## 3. エンクロージャ & 機械作業 + +• フラッシュカッターを使用し、次にナイフとファイルで内部の ABS “バンプアウト” を*取り除き*、大きな USB-C バッテリーがスタンドオフに平らに座るようにします。 +• エンクロージャの壁に USB-C ケーブル用の 2 つの平行なチャネルを彫ります。これによりバッテリーが固定され、動きや振動が排除されます。 +• バッテリーの**電源**ボタン用の長方形の開口部を作成します: +1. 位置に紙の型紙をテープで貼ります。 +2. すべての四隅に 1/16″ のパイロットホールをドリルします。 +3. 1/8″ ビットで拡大します。 +4. コーピングソーで穴をつなぎ、ファイルでエッジを仕上げます。 +✱ 高速ビットが厚い ABS を溶かし、醜いエッジを残すため、回転式 Dremel は*避けられました*。 + +## 4. 最終組み立て + +1. MaxiProx 論理基板を再取り付けし、SMA ピグテールをリーダーの PCB グラウンドパッドに再ハンダします。 +2. ESP RFID Tool と USB-PD トリガーを 3 M VHB を使用して取り付けます。 +3. すべての配線をジップタイで整え、電源リードをアンテナループから**遠く**に保ちます。 +4. エンクロージャのネジを締めてバッテリーが軽く圧縮されるまで締めます。内部の摩擦がデバイスがカードを読み取った後にパックが移動するのを防ぎます。 + +## 5. 範囲 & シールドテスト + +* 125 kHz **Pupa** テストカードを使用して、ポータブルクローンは**≈ 8 cm**の範囲で一貫した読み取りを達成しました – メイン電源での動作と同じです。 +* リーダーを薄壁の金属製現金箱の中に置く(銀行ロビーのデスクを模擬するため)と、範囲が ≤ 2 cm に減少し、 substantial metal enclosures が効果的な RF シールドとして機能することが確認されました。 + +## 使用ワークフロー + +1. USB-C バッテリーを充電し、接続し、メイン電源スイッチを切り替えます。 +2. (オプション)ビーパーガードを開き、ベンチテスト時に音声フィードバックを有効にします。秘密のフィールド使用の前にロックします。 +3. ターゲットバッジホルダーの近くを歩きます – MaxiProx がカードに電力を供給し、ESP RFID Tool が Wiegand ストリームをキャプチャします。 +4. キャプチャした認証情報を Wi-Fi または USB-UART 経由でダンプし、必要に応じて再生/クローンします。 + +## トラブルシューティング + +| 症状 | 考えられる原因 | 修正 | +|---------|--------------|------| +| カードを提示するとリーダーが再起動する | PD トリガーが 9 V を交渉したが 12 V ではない | トリガージャンパーを確認 / より高出力の USB-C ケーブルを試す | +| 読み取り範囲がない | バッテリーまたは配線がアンテナの*上に*ある | ケーブルを再ルーティングし、フェライトループの周りに 2 cm のクリアランスを保つ | +| ビーパーがまだ鳴る | スイッチが負のリードではなく正のリードに配線されている | キルスイッチを移動して**負**のスピーカートレースを切断します | + +## 参考文献 + +- [Let’s Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together) + +{{#include ../../banners/hacktricks-training.md}} diff --git a/src/todo/radio-hacking/pentesting-rfid.md b/src/todo/radio-hacking/pentesting-rfid.md index 167c2baa7..8f77078c2 100644 --- a/src/todo/radio-hacking/pentesting-rfid.md +++ b/src/todo/radio-hacking/pentesting-rfid.md @@ -10,22 +10,22 @@ RFIDタグは、**独自の電源(アクティブ)**、例えば埋め込ま ### Classes -EPCglobalはRFIDタグを6つのカテゴリに分けています。各カテゴリのタグは、前のカテゴリにリストされたすべての機能を持ち、後方互換性があります。 +EPCglobalはRFIDタグを6つのカテゴリに分けています。各カテゴリのタグは、前のカテゴリにリストされているすべての機能を持ち、後方互換性があります。 -- **Class 0**タグは、**UHF**バンドで動作する**パッシブ**タグです。ベンダーが製造工場で**事前にプログラム**します。その結果、メモリに保存された情報を**変更することはできません**。 -- **Class 1**タグも**HF**バンドで動作できます。さらに、製造後に**一度だけ書き込むことができます**。多くのClass 1タグは、受信したコマンドの**循環冗長検査**(CRC)を処理することもできます。CRCは、エラー検出のためのコマンドの最後にあるいくつかの追加バイトです。 +- **Class 0**タグは、**UHF**バンドで動作する**パッシブ**タグです。ベンダーが生産工場で**事前にプログラム**します。その結果、メモリに保存された情報を**変更することはできません**。 +- **Class 1**タグは、**HF**バンドでも動作できます。さらに、生産後に**一度だけ書き込むことができます**。多くのClass 1タグは、受信したコマンドの**循環冗長検査**(CRC)を処理することもできます。CRCは、エラー検出のためにコマンドの最後に追加される数バイトです。 - **Class 2**タグは、**複数回書き込むことができます**。 - **Class 3**タグは、現在の温度やタグの動きなどの環境パラメータを記録できる**埋め込みセンサー**を含むことができます。これらのタグは**セミパッシブ**であり、埋め込まれた電源(統合された**バッテリー**など)を持っていますが、他のタグやリーダーとの無線**通信を開始することはできません**。 - **Class 4**タグは、同じクラスの他のタグとの通信を開始できるため、**アクティブタグ**です。 -- **Class 5**タグは、他のタグに**電力を供給し、すべての前のタグ**クラスと通信できます。Class 5タグは**RFIDリーダー**として機能できます。 +- **Class 5**タグは、**他のタグに電力を供給し、すべての前のタグ**クラスと通信できます。Class 5タグは**RFIDリーダー**として機能することができます。 ### Information Stored in RFID Tags -RFIDタグのメモリは通常、4種類のデータを保存します:**識別データ**、これはタグが取り付けられている**エンティティ**を**識別**します(このデータには、銀行口座などのユーザー定義フィールドが含まれます);**補足データ**、これはエンティティに関する**さらなる****詳細**を提供します;**制御データ**、これはタグの内部**構成**に使用されます;およびタグの**製造者データ**、これはタグのユニーク識別子(**UID**)とタグの**製造**、**タイプ**、および**ベンダー**に関する詳細を含みます。最初の2種類のデータはすべての商業タグに見られますが、最後の2つはタグのベンダーによって異なる場合があります。 +RFIDタグのメモリは通常、4種類のデータを保存します:**識別データ**、これはタグが取り付けられている**エンティティ**を**識別**します(このデータには、銀行口座などのユーザー定義フィールドが含まれます);**補足データ**、これはエンティティに関する**さらなる****詳細**を提供します;**制御データ**、これはタグの内部**構成**に使用されます;およびタグの**製造者データ**、これはタグのユニーク識別子(**UID**)やタグの**製造**、**タイプ**、および**ベンダー**に関する詳細を含みます。最初の2種類のデータはすべての商業タグに見られますが、最後の2つはタグのベンダーによって異なる場合があります。 ISO標準は、タグが属する**オブジェクトの種類**を示すコードであるアプリケーションファミリー識別子(**AFI**)値を指定します。ISOによって指定されたもう1つの重要なレジスタは、ユーザーデータの**論理的な組織**を定義するデータストレージフォーマット識別子(**DSFID**)です。 -ほとんどのRFID **セキュリティコントロール**には、各ユーザーメモリブロックおよびAFIおよびDSFID値を含む特別なレジスタに対する**読み取り**または**書き込み**操作を**制限**するメカニズムがあります。これらの**ロック****メカニズム**は、制御メモリに保存されたデータを使用し、ベンダーによって事前に構成された**デフォルトパスワード**を持っていますが、タグの所有者が**カスタムパスワードを構成する**ことを許可します。 +ほとんどのRFID **セキュリティ制御**には、各ユーザーメモリブロックおよびAFIおよびDSFID値を含む特別なレジスタに対する**読み取り**または**書き込み**操作を**制限**するメカニズムがあります。これらの**ロック****メカニズム**は、制御メモリに保存されたデータを使用し、ベンダーによって事前に構成された**デフォルトパスワード**を持っていますが、タグの所有者が**カスタムパスワードを構成する**ことを許可します。 ### Low & High frequency tags comparison @@ -33,11 +33,11 @@ ISO標準は、タグが属する**オブジェクトの種類**を示すコー ## Low-Frequency RFID Tags (125kHz) -**低周波タグ**は、**高いセキュリティを必要としない**システムでよく使用されます:建物のアクセス、インターホンキー、ジムの会員カードなど。より高い範囲のため、支払い駐車場での使用に便利です:ドライバーはカードをリーダーに近づける必要がなく、遠くからトリガーされます。同時に、低周波タグは非常に原始的で、データ転送速度が低いため、残高保持や暗号化などの複雑な双方向データ転送を実装することは不可能です。低周波タグは、認証手段なしで短いIDを送信するだけです。 +**低周波タグ**は、**高いセキュリティを必要としない**システムでよく使用されます:建物のアクセス、インターホンキー、ジムの会員カードなど。より高い範囲のため、支払い駐車場での使用に便利です:ドライバーはカードをリーダーの近くに持ってくる必要がなく、遠くからトリガーされます。同時に、低周波タグは非常に原始的で、データ転送速度が低いため、残高の保持や暗号化などの複雑な双方向データ転送を実装することは不可能です。低周波タグは、認証手段なしで短いIDを送信するだけです。 これらのデバイスは**パッシブ****RFID**技術に依存し、**30 kHzから300 kHzの範囲**で動作しますが、125 kHzから134 kHzを使用するのが一般的です: -- **ロングレンジ** — 低い周波数は高い範囲に変換されます。EM-MarinやHIDリーダーの中には、1メートルの距離から動作するものがあります。これらは駐車場でよく使用されます。 +- **長距離** — 低い周波数は高い範囲に変換されます。EM-MarinやHIDリーダーの中には、1メートルの距離から動作するものがあります。これらは駐車場でよく使用されます。 - **原始的なプロトコル** — 低いデータ転送速度のため、これらのタグは短いIDを送信することしかできません。ほとんどの場合、データは認証されず、保護されていません。カードがリーダーの範囲内に入ると、ただIDを送信し始めます。 - **低いセキュリティ** — これらのカードは簡単にコピーでき、プロトコルの原始性のために他の人のポケットからでも読み取られる可能性があります。 @@ -45,7 +45,7 @@ ISO標準は、タグが属する**オブジェクトの種類**を示すコー - **EM-Marin** — EM4100、EM4102。CISで最も人気のあるプロトコル。シンプルさと安定性のため、約1メートルの距離から読み取ることができます。 - **HID Prox II** — HID Globalによって導入された低周波プロトコル。このプロトコルは西洋諸国でより人気があります。より複雑で、このプロトコル用のカードとリーダーは比較的高価です。 -- **Indala** — Motorolaによって導入された非常に古い低周波プロトコルで、後にHIDに買収されました。前の2つと比較して、使用されることは少なくなっています。 +- **Indala** — Motorolaによって導入された非常に古い低周波プロトコルで、後にHIDに買収されました。前の2つと比べて、使用されることは少なくなっています。 実際には、もっと多くの低周波プロトコルがあります。しかし、すべて同じ物理層の変調を使用し、上記のもののいずれかのバリエーションと見なすことができます。 @@ -62,17 +62,17 @@ flipper-zero/fz-125khz-rfid.md **高周波タグ**は、暗号化、大規模な双方向データ転送、認証などが必要なより複雑なリーダーとタグの相互作用に使用されます。\ 通常、銀行カード、公共交通機関、その他のセキュアパスで見られます。 -**高周波13.56 MHzタグは一連の標準とプロトコルです**。通常、[NFC](https://nfc-forum.org/what-is-nfc/about-the-technology/)と呼ばれますが、必ずしも正しいわけではありません。物理的および論理的レベルで使用される基本的なプロトコルセットはISO 14443です。高レベルのプロトコルや代替標準(ISO 19092など)はこれに基づいています。この技術は**近距離通信(NFC)**と呼ばれることが多く、13.56 MHz周波数で動作するデバイスの用語です。 +**高周波13.56 MHzタグは一連の標準とプロトコルです**。通常、[NFC](https://nfc-forum.org/what-is-nfc/about-the-technology/)と呼ばれますが、必ずしも正しいわけではありません。物理的および論理的レベルで使用される基本的なプロトコルセットはISO 14443です。高レベルのプロトコルや代替標準(ISO 19092など)はこれに基づいています。この技術は**近接通信(NFC)**と呼ばれることが多く、13.56 MHzの周波数で動作するデバイスの用語です。
簡単に言えば、NFCのアーキテクチャは次のように機能します:送信プロトコルはカードを製造する会社によって選択され、低レベルのISO 14443に基づいて実装されます。例えば、NXPはMifareと呼ばれる独自の高レベル送信プロトコルを発明しました。しかし、低レベルでは、MifareカードはISO 14443-A標準に基づいています。 -Flipperは、低レベルのISO 14443プロトコルとMifare Ultralightデータ転送プロトコルおよび銀行カードで使用されるEMVと相互作用できます。Mifare ClassicおよびNFC NDEFのサポートを追加する作業を進めています。NFCを構成するプロトコルと標準についての詳細な検討は、別の記事に値するものであり、後で公開する予定です。 +Flipperは、低レベルのISO 14443プロトコルとMifare Ultralightデータ転送プロトコル、銀行カードで使用されるEMVと相互作用できます。Mifare ClassicとNFC NDEFのサポートを追加する作業を進めています。NFCを構成するプロトコルと標準についての詳細な考察は、別の記事に値するものであり、後で公開する予定です。 -ISO 14443-A標準に基づくすべての高周波カードにはユニークなチップIDがあります。これはカードのシリアル番号として機能し、ネットワークカードのMACアドレスのようなものです。**通常、UIDは4または7バイトの長さですが、まれに**10バイトまで**行くことがあります。UIDは秘密ではなく、簡単に読み取ることができ、**時にはカード自体に印刷されていることもあります**。 +ISO 14443-A標準に基づくすべての高周波カードにはユニークなチップIDがあります。これはカードのシリアル番号として機能し、ネットワークカードのMACアドレスのようなものです。**通常、UIDは4または7バイトの長さですが、まれに**10バイトまで**達することがあります。UIDは秘密ではなく、簡単に読み取ることができ、**時にはカード自体に印刷されていることもあります**。 -UIDに依存して**認証およびアクセスを許可する**アクセス制御システムが多数あります。時には、RFIDタグが**暗号化をサポートしている**場合でも、これが発生します。このような**誤用**は、セキュリティの観点から、愚かな**125 kHzカード**のレベルにまで引き下げます。仮想カード(Apple Payなど)は、動的UIDを使用して、電話の所有者が支払いアプリでドアを開けることがないようにします。 +UIDに依存して**認証とアクセスを許可する**アクセス制御システムが多数あります。時には、RFIDタグが**暗号化をサポートしている**場合でも、これが発生します。このような**誤用**は、セキュリティの観点から、愚かな**125 kHzカード**のレベルにまで引き下げます。仮想カード(Apple Payなど)は、電話の所有者が支払いアプリでドアを開けないようにするために動的UIDを使用します。 - **低い範囲** — 高周波カードは、リーダーの近くに置かなければならないように特別に設計されています。これにより、カードが不正な相互作用から保護されます。私たちが達成した最大の読み取り範囲は約15 cmで、これはカスタムメイドの高範囲リーダーを使用した場合です。 - **高度なプロトコル** — データ転送速度が424 kbpsまで可能で、完全な双方向データ転送を伴う複雑なプロトコルを可能にします。これにより、**暗号化**、データ転送などが可能になります。 @@ -92,8 +92,19 @@ Or using the **proxmark**: proxmark-3.md {{#endref}} +### Building a Portable HID MaxiProx 125 kHz Mobile Cloner + +もし、**長距離**、**バッテリー駆動**のHID Prox®バッジを収集するためのソリューションが必要な場合、壁に取り付けられた**HID MaxiProx 5375**リーダーをバックパックに収まる自己完結型クローンに変換できます。完全な機械的および電気的な手順はここにあります: + +{{#ref}} +maxiprox-mobile-cloner.md +{{#endref}} + +--- + ## References - [https://blog.flipperzero.one/rfid/](https://blog.flipperzero.one/rfid/) +- [Let's Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together) {{#include ../../banners/hacktricks-training.md}}