mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/todo/radio-hacking/maxiprox-mobile-cloner.md', 'src/tod
This commit is contained in:
Translator
parent
18df257350
commit
ea1e48986a
@ -887,6 +887,7 @@
|
||||
- [Industrial Control Systems Hacking](todo/industrial-control-systems-hacking/README.md)
|
||||
- [Modbus Protocol](todo/industrial-control-systems-hacking/modbus.md)
|
||||
- [Radio Hacking](todo/radio-hacking/README.md)
|
||||
- [Maxiprox Mobile Cloner](todo/radio-hacking/maxiprox-mobile-cloner.md)
|
||||
- [Pentesting RFID](todo/radio-hacking/pentesting-rfid.md)
|
||||
- [Infrared](todo/radio-hacking/infrared.md)
|
||||
- [Sub-GHz RF](todo/radio-hacking/sub-ghz-rf.md)
|
||||
|
||||
84
src/todo/radio-hacking/maxiprox-mobile-cloner.md
Normal file
84
src/todo/radio-hacking/maxiprox-mobile-cloner.md
Normal file
@ -0,0 +1,84 @@
|
||||
# 构建便携式 HID MaxiProx 125 kHz 移动克隆器
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
## 目标
|
||||
将一个主电源供电的 HID MaxiProx 5375 长距离 125 kHz 读卡器转变为一个可在现场部署的、由电池供电的徽章克隆器,能够在物理安全评估期间静默收集接近卡。
|
||||
|
||||
这里的转换基于 TrustedSec 的“让我们克隆一个克隆器 - 第 3 部分:将一切结合在一起”研究系列,结合了机械、电气和射频方面的考虑,以便最终设备可以放入背包并立即在现场使用。
|
||||
|
||||
> [!warning]
|
||||
> 操作主电源供电的设备和锂离子电源银行可能是危险的。在通电电路之前,请验证每个连接,并保持天线、同轴电缆和接地平面与工厂设计完全一致,以避免调谐失效。
|
||||
|
||||
## 材料清单 (BOM)
|
||||
|
||||
* HID MaxiProx 5375 读卡器(或任何 12 V HID Prox® 长距离读卡器)
|
||||
* ESP RFID Tool v2.2(基于 ESP32 的 Wiegand 嗅探器/记录器)
|
||||
* USB-PD(电源传输)触发模块,能够协商 12 V @ ≥3 A
|
||||
* 100 W USB-C 电源银行(输出 12 V PD 配置文件)
|
||||
* 26 AWG 硅胶绝缘连接线 - 红/白
|
||||
* 面板安装 SPST 切换开关(用于蜂鸣器杀开关)
|
||||
* NKK AT4072 开关保护盖/防意外盖
|
||||
* 焊接铁、焊锡吸取带和除焊泵
|
||||
* ABS 级手动工具:锯、刀、平头和半圆锉
|
||||
* 钻头 1/16″(1.5 mm)和 1/8″(3 mm)
|
||||
* 3 M VHB 双面胶带和扎带
|
||||
|
||||
## 1. 电源子系统
|
||||
|
||||
1. 拆除并移除用于生成 5 V 逻辑 PCB 的工厂降压转换器子板。
|
||||
2. 在 ESP RFID Tool 旁边安装 USB-PD 触发器,并将触发器的 USB-C 插口引导到外壳外部。
|
||||
3. PD 触发器从电源银行协商 12 V,并直接供电给 MaxiProx(读卡器原生期望 10–14 V)。从 ESP 板获取一个次级 5 V 电源轨以供电任何配件。
|
||||
4. 100 W 电池组紧贴内部支撑安装,以确保 **没有** 电源线悬挂在铁氧体天线附近,从而保持射频性能。
|
||||
|
||||
## 2. 蜂鸣器杀开关 - 静音操作
|
||||
|
||||
1. 找到 MaxiProx 逻辑板上的两个扬声器焊盘。
|
||||
2. 清理 *两个* 焊盘,然后仅重新焊接 **负** 焊盘。
|
||||
3. 将 26 AWG 线(白色 = 负,红色 = 正)焊接到蜂鸣器焊盘,并通过新切割的槽引导到面板安装的 SPST 开关。
|
||||
4. 当开关打开时,蜂鸣器电路被切断,读卡器在完全静默中操作 - 适合隐秘的徽章收集。
|
||||
5. 在切换开关上安装 NKK AT4072 弹簧加载安全盖。小心地用锯/锉扩大孔径,直到它卡在开关主体上。保护盖防止在背包内意外激活。
|
||||
|
||||
## 3. 外壳与机械工作
|
||||
|
||||
• 使用平头剪刀,然后用刀和锉 *去除* 内部 ABS “凸起”,使大型 USB-C 电池平放在支撑上。
|
||||
• 在外壳壁上雕刻两个平行通道以容纳 USB-C 电缆;这将电池锁定到位并消除移动/振动。
|
||||
• 为电池的 **电源** 按钮创建一个矩形开口:
|
||||
1. 在位置上贴上纸质模板。
|
||||
2. 在四个角钻 1/16″ 导向孔。
|
||||
3. 用 1/8″ 钻头扩大孔。
|
||||
4. 用锯连接孔;用锉修整边缘。
|
||||
✱ 避免使用旋转 Dremel - 高速钻头会熔化厚 ABS 并留下难看的边缘。
|
||||
|
||||
## 4. 最终组装
|
||||
|
||||
1. 重新安装 MaxiProx 逻辑板,并重新焊接 SMA 尾线到读卡器的 PCB 地面焊盘。
|
||||
2. 使用 3 M VHB 安装 ESP RFID Tool 和 USB-PD 触发器。
|
||||
3. 用扎带整理所有电线,保持电源线 **远离** 天线环。
|
||||
4. 拧紧外壳螺丝,直到电池轻微压缩;内部摩擦防止在每次读取卡片后设备发生位移。
|
||||
|
||||
## 5. 范围与屏蔽测试
|
||||
|
||||
* 使用 125 kHz **Pupa** 测试卡,便携式克隆器在自由空气中实现了 **≈ 8 cm** 的一致读取 - 与主电源供电操作相同。
|
||||
* 将读卡器放置在薄壁金属现金箱内(模拟银行大堂桌子)将范围减少到 ≤ 2 cm,确认大金属外壳作为有效的射频屏蔽。
|
||||
|
||||
## 使用工作流程
|
||||
|
||||
1. 充电 USB-C 电池,连接电池,并翻转主电源开关。
|
||||
2. (可选)打开蜂鸣器保护盖,在台式测试时启用声音反馈;在隐秘现场使用前锁定。
|
||||
3. 走过目标徽章持有者 - MaxiProx 将激活卡片,ESP RFID Tool 捕获 Wiegand 流。
|
||||
4. 通过 Wi-Fi 或 USB-UART 转储捕获的凭据,并根据需要重放/克隆。
|
||||
|
||||
## 故障排除
|
||||
|
||||
| 症状 | 可能原因 | 修复 |
|
||||
|---------|--------------|------|
|
||||
| 读卡器在卡片呈现时重启 | PD 触发器协商了 9 V 而不是 12 V | 验证触发器跳线/尝试更高功率的 USB-C 电缆 |
|
||||
| 无读取范围 | 电池或电线放置在 *天线* 上 | 重新布线并保持铁氧体环周围 2 cm 的间隙 |
|
||||
| 蜂鸣器仍然鸣叫 | 开关接在正极而不是负极 | 移动杀开关以切断 **负** 扬声器线路 |
|
||||
|
||||
## 参考文献
|
||||
|
||||
- [让我们克隆一个克隆器 - 第 3 部分 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together)
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
@ -6,7 +6,7 @@
|
||||
|
||||
**射频识别 (RFID)** 是最流行的短距离无线解决方案。它通常用于存储和传输识别实体的信息。
|
||||
|
||||
RFID 标签可以依赖于 **自身电源 (主动)**,例如嵌入式电池,或通过读取天线接收来自接收无线电波的电流 **(被动)**。
|
||||
RFID 标签可以依赖于 **自身电源 (主动)**,例如嵌入式电池,或通过读取天线接收来自接收无线电波的电流 **供电 (被动)**。
|
||||
|
||||
### Classes
|
||||
|
||||
@ -15,17 +15,17 @@ EPCglobal 将 RFID 标签分为六类。每个类别中的标签都具备前一
|
||||
- **Class 0** 标签是 **被动** 标签,工作在 **UHF** 频段。供应商在生产工厂 **预编程** 它们。因此,您 **无法更改** 存储在其内存中的信息。
|
||||
- **Class 1** 标签也可以在 **HF** 频段工作。此外,它们在生产后只能 **写入一次**。许多 Class 1 标签还可以处理接收到的命令的 **循环冗余检查** (CRCs)。CRC 是命令末尾的几个额外字节,用于错误检测。
|
||||
- **Class 2** 标签可以 **多次写入**。
|
||||
- **Class 3** 标签可以包含 **嵌入式传感器**,可以记录环境参数,例如当前温度或标签的运动。这些标签是 **半主动** 的,因为尽管它们 **具有** 嵌入式电源,例如集成 **电池**,但它们 **无法发起** 与其他标签或读取器的无线 **通信**。
|
||||
- **Class 3** 标签可以包含 **嵌入式传感器**,记录环境参数,例如当前温度或标签的运动。这些标签是 **半主动** 的,因为尽管它们 **具有** 嵌入式电源,例如集成 **电池**,但它们 **无法发起** 与其他标签或读取器的无线 **通信**。
|
||||
- **Class 4** 标签可以与同类的其他标签发起通信,使其成为 **主动标签**。
|
||||
- **Class 5** 标签可以为其他标签提供 **电源并与所有先前的标签** 类别进行通信。Class 5 标签可以充当 **RFID 读取器**。
|
||||
- **Class 5** 标签可以为其他标签提供 **电源并与所有前面的标签** 类别进行通信。Class 5 标签可以充当 **RFID 读取器**。
|
||||
|
||||
### Information Stored in RFID Tags
|
||||
|
||||
RFID 标签的内存通常存储四种数据:**识别数据**,用于 **识别** 标签所附着的 **实体**(这些数据包括用户定义的字段,例如银行账户);**补充数据**,提供有关实体的 **进一步** **细节**;**控制数据**,用于标签的内部 **配置**;以及标签的 **制造商数据**,其中包含标签的唯一标识符 (**UID**) 以及有关标签的 **生产**、**类型** 和 **供应商** 的详细信息。您会在所有商业标签中找到前两种数据;最后两种数据可能会根据标签的供应商而有所不同。
|
||||
RFID 标签的内存通常存储四种数据:**识别数据**,用于 **识别** 标签所附着的 **实体**(这些数据包括用户定义的字段,例如银行账户);**补充数据**,提供有关实体的 **进一步** **细节**;**控制数据**,用于标签的内部 **配置**;以及标签的 **制造商数据**,其中包含标签的唯一标识符 (**UID**) 和有关标签的 **生产**、**类型** 和 **供应商** 的详细信息。您会在所有商业标签中找到前两种数据;最后两种数据可能会根据标签的供应商而有所不同。
|
||||
|
||||
ISO 标准指定了应用程序系列标识符 (**AFI**) 值,这是一个指示标签所属 **对象类型** 的代码。另一个由 ISO 指定的重要寄存器是数据存储格式标识符 (**DSFID**),它定义了 **用户数据的逻辑组织**。
|
||||
ISO 标准规定了应用程序系列标识符 (**AFI**) 值,这是一个指示标签所属 **对象类型** 的代码。另一个重要的寄存器,也是由 ISO 规定的,是数据存储格式标识符 (**DSFID**),它定义了 **用户数据的逻辑组织**。
|
||||
|
||||
大多数 RFID **安全控制** 具有机制,**限制** 每个用户内存块以及包含 AFI 和 DSFID 值的特殊寄存器上的 **读取** 或 **写入** 操作。这些 **锁定** **机制** 使用存储在控制内存中的数据,并具有供应商预配置的 **默认密码**,但允许标签所有者 **配置自定义密码**。
|
||||
大多数 RFID **安全控制** 具有 **限制** 每个用户内存块和包含 AFI 和 DSFID 值的特殊寄存器的 **读取** 或 **写入** 操作的机制。这些 **锁定** **机制** 使用存储在控制内存中的数据,并具有供应商预配置的 **默认密码**,但允许标签所有者 **配置自定义密码**。
|
||||
|
||||
### Low & High frequency tags comparison
|
||||
|
||||
@ -35,19 +35,19 @@ ISO 标准指定了应用程序系列标识符 (**AFI**) 值,这是一个指
|
||||
|
||||
**低频标签** 通常用于 **不需要高安全性** 的系统:建筑物访问、对讲机钥匙、健身会员卡等。由于其较高的范围,它们在付费停车时使用方便:司机无需将卡靠近读取器,因为它可以在更远的地方触发。同时,低频标签非常原始,数据传输速率低。因此,无法实现复杂的双向数据传输,例如保持余额和加密。低频标签仅传输其短 ID,而没有任何身份验证手段。
|
||||
|
||||
这些设备依赖于 **被动** **RFID** 技术,工作在 **30 kHz 到 300 kHz** 的范围内,尽管更常用的是 125 kHz 到 134 kHz:
|
||||
这些设备依赖于 **被动** **RFID** 技术,工作在 **30 kHz 到 300 kHz** 的范围内,尽管通常使用 125 kHz 到 134 kHz:
|
||||
|
||||
- **长距离** — 较低的频率意味着更高的范围。有一些 EM-Marin 和 HID 读取器,可以在距离达一米的地方工作。这些通常用于停车场。
|
||||
- **原始协议** — 由于数据传输速率低,这些标签只能传输其短 ID。在大多数情况下,数据没有经过身份验证,也没有以任何方式受到保护。只要卡在读取器的范围内,它就会开始传输其 ID。
|
||||
- **原始协议** — 由于低数据传输速率,这些标签只能传输其短 ID。在大多数情况下,数据没有经过身份验证,也没有以任何方式受到保护。只要卡在读取器的范围内,它就会开始传输其 ID。
|
||||
- **低安全性** — 这些卡可以很容易地被复制,甚至可以从其他人的口袋中读取,因为协议的原始性。
|
||||
|
||||
**流行的 125 kHz 协议:**
|
||||
|
||||
- **EM-Marin** — EM4100,EM4102。CIS 中最流行的协议。由于其简单性和稳定性,可以在约一米的距离内读取。
|
||||
- **EM-Marin** — EM4100, EM4102。CIS 中最流行的协议。由于其简单性和稳定性,可以在约一米的距离内读取。
|
||||
- **HID Prox II** — HID Global 引入的低频协议。该协议在西方国家更为流行。它更复杂,且该协议的卡和读取器相对昂贵。
|
||||
- **Indala** — 由摩托罗拉引入的非常古老的低频协议,后来被 HID 收购。与前两者相比,您在野外遇到它的可能性较小,因为它正在逐渐被淘汰。
|
||||
|
||||
实际上,还有更多低频协议。但它们都在物理层上使用相同的调制方式,可以被视为上述协议的某种变体。
|
||||
实际上,还有很多其他低频协议。但它们都在物理层上使用相同的调制方式,可以被视为上述协议的某种变体。
|
||||
|
||||
### Attack
|
||||
|
||||
@ -66,17 +66,17 @@ flipper-zero/fz-125khz-rfid.md
|
||||
|
||||
<figure><img src="../../images/image (930).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
简单来说,NFC 的架构是这样的:传输协议由制造卡片的公司选择,并基于低级 ISO 14443 实现。例如,NXP 发明了自己的高级传输协议,称为 Mifare。但在较低层面上,Mifare 卡是基于 ISO 14443-A 标准的。
|
||||
简单来说,NFC 的架构是这样的:传输协议由制造卡的公司选择,并基于低级 ISO 14443 实现。例如,NXP 发明了自己的高级传输协议,称为 Mifare。但在较低层面上,Mifare 卡基于 ISO 14443-A 标准。
|
||||
|
||||
Flipper 可以与低级 ISO 14443 协议以及 Mifare Ultralight 数据传输协议和用于银行卡的 EMV 进行交互。我们正在努力添加对 Mifare Classic 和 NFC NDEF 的支持。深入研究构成 NFC 的协议和标准值得单独撰写一篇文章,我们计划稍后发布。
|
||||
Flipper 可以与低级 ISO 14443 协议以及 Mifare Ultralight 数据传输协议和用于银行卡的 EMV 进行交互。我们正在努力添加对 Mifare Classic 和 NFC NDEF 的支持。对构成 NFC 的协议和标准的深入研究值得单独撰写一篇文章,我们计划稍后发布。
|
||||
|
||||
所有基于 ISO 14443-A 标准的高频卡都有一个唯一的芯片 ID。它充当卡的序列号,类似于网络卡的 MAC 地址。**通常,UID 长度为 4 或 7 字节**,但很少可以 **达到 10**。UID 不是秘密,且很容易读取,**有时甚至印在卡片上**。
|
||||
所有基于 ISO 14443-A 标准的高频卡都有一个唯一的芯片 ID。它充当卡的序列号,类似于网络卡的 MAC 地址。**通常,UID 长度为 4 或 7 字节**,但很少可以 **达到 10**。UID 不是秘密,且很容易读取,**有时甚至印在卡上**。
|
||||
|
||||
有许多访问控制系统依赖 UID 来 **进行身份验证和授予访问**。有时即使 RFID 标签 **支持加密**,这也会发生。这种 **误用** 使它们在 **安全性** 上降至愚蠢的 **125 kHz 卡** 的水平。虚拟卡(如 Apple Pay)使用动态 UID,以便手机用户不会用他们的支付应用打开门。
|
||||
|
||||
- **低范围** — 高频卡专门设计为必须靠近读取器放置。这也有助于保护卡免受未经授权的交互。我们所能达到的最大读取范围约为 15 厘米,而这还是使用定制的高范围读取器。
|
||||
- **低范围** — 高频卡专门设计为必须靠近读取器放置。这也有助于保护卡免受未经授权的交互。我们成功实现的最大读取范围约为 15 厘米,而这还是使用定制的高范围读取器。
|
||||
- **高级协议** — 数据传输速度高达 424 kbps,允许复杂的协议进行完整的双向数据传输。这反过来 **允许加密**、数据传输等。
|
||||
- **高安全性** — 高频非接触卡在任何方面都不逊色于智能卡。有些卡支持强加密算法,如 AES,并实现非对称加密。
|
||||
- **高安全性** — 高频非接触卡在安全性上绝不逊色于智能卡。有些卡支持强加密算法,如 AES,并实现非对称加密。
|
||||
|
||||
### Attack
|
||||
|
||||
@ -86,14 +86,25 @@ Flipper 可以与低级 ISO 14443 协议以及 Mifare Ultralight 数据传输协
|
||||
flipper-zero/fz-nfc.md
|
||||
{{#endref}}
|
||||
|
||||
或者使用 **proxmark**:
|
||||
或使用 **proxmark**:
|
||||
|
||||
{{#ref}}
|
||||
proxmark-3.md
|
||||
{{#endref}}
|
||||
|
||||
### Building a Portable HID MaxiProx 125 kHz Mobile Cloner
|
||||
|
||||
如果您需要一个 **长距离**、**电池供电** 的解决方案来在红队活动中收集 HID Prox® 徽章,您可以将壁挂式 **HID MaxiProx 5375** 读取器转换为一个适合背包的自给自足的克隆器。完整的机械和电气操作指南可在此处找到:
|
||||
|
||||
{{#ref}}
|
||||
maxiprox-mobile-cloner.md
|
||||
{{#endref}}
|
||||
|
||||
---
|
||||
|
||||
## References
|
||||
|
||||
- [https://blog.flipperzero.one/rfid/](https://blog.flipperzero.one/rfid/)
|
||||
- [Let's Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together)
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user