From f89ab3422e3bc05b20c183431c5914bf6149236c Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 4 Aug 2025 10:36:48 +0000 Subject: [PATCH] Translated ['src/todo/radio-hacking/maxiprox-mobile-cloner.md', 'src/tod --- src/SUMMARY.md | 1 + .../radio-hacking/maxiprox-mobile-cloner.md | 84 +++++++++++++++++++ src/todo/radio-hacking/pentesting-rfid.md | 45 ++++++---- 3 files changed, 113 insertions(+), 17 deletions(-) create mode 100644 src/todo/radio-hacking/maxiprox-mobile-cloner.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index df1a7762a..ad779f71c 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -887,6 +887,7 @@ - [Industrial Control Systems Hacking](todo/industrial-control-systems-hacking/README.md) - [Modbus Protocol](todo/industrial-control-systems-hacking/modbus.md) - [Radio Hacking](todo/radio-hacking/README.md) + - [Maxiprox Mobile Cloner](todo/radio-hacking/maxiprox-mobile-cloner.md) - [Pentesting RFID](todo/radio-hacking/pentesting-rfid.md) - [Infrared](todo/radio-hacking/infrared.md) - [Sub-GHz RF](todo/radio-hacking/sub-ghz-rf.md) diff --git a/src/todo/radio-hacking/maxiprox-mobile-cloner.md b/src/todo/radio-hacking/maxiprox-mobile-cloner.md new file mode 100644 index 000000000..d45284f03 --- /dev/null +++ b/src/todo/radio-hacking/maxiprox-mobile-cloner.md @@ -0,0 +1,84 @@ +# Побудова портативного HID MaxiProx 125 кГц мобільного клонера + +{{#include ../../banners/hacktricks-training.md}} + +## Мета +Перетворити мережевий HID MaxiProx 5375 довгосвітловий 125 кГц зчитувач на польовий, живлений від батареї клонер значків, який безшумно збирає картки доступу під час оцінки фізичної безпеки. + +Конверсія, описана тут, базується на дослідженнях TrustedSec "Давайте клонувати клонер – Частина 3: Збираємо все разом" і поєднує механічні, електричні та радіочастотні аспекти, щоб фінальний пристрій можна було покласти в рюкзак і відразу використовувати на місці. + +> [!warning] +> Маніпуляції з мережевим обладнанням та літій-іонними акумуляторами можуть бути небезпечними. Перевірте кожне з'єднання **перед** подачею живлення на схему та зберігайте антени, коаксіальні кабелі та заземлювальні площини точно такими, якими вони були в заводському дизайні, щоб уникнути детюнації зчитувача. + +## Специфікація матеріалів (BOM) + +* HID MaxiProx 5375 зчитувач (або будь-який 12 В HID Prox® довгосвітловий зчитувач) +* ESP RFID Tool v2.2 (засіб для зчитування/логування Wiegand на базі ESP32) +* Модуль тригера USB-PD (Power-Delivery), здатний домовлятися про 12 В @ ≥3 А +* 100 Вт USB-C акумулятор (виходи 12 В PD профілю) +* 26 AWG силіконовий ізольований з'єднувальний дріт – червоний/білий +* Панельний SPST перемикач (для вимикача сигналізації) +* Захисна кришка NKK AT4072 / капсула, що запобігає нещасним випадкам +* Паяльник, обплетка для пайки та насос для видалення припою +* Інструменти з ABS: ножівка, канцелярський ніж, плоскі та напівкруглі файли +* Свердла 1/16″ (1.5 мм) та 1/8″ (3 мм) +* Двосторонній скотч 3 M VHB та стяжки + +## 1. Підсистема живлення + +1. Випаяти та видалити заводську плату перетворювача, що використовується для генерації 5 В для логічної плати. +2. Закріпити тригер USB-PD поруч з ESP RFID Tool і вивести USB-C роз'єм тригера назовні корпусу. +3. Тригер PD домовляється про 12 В з акумулятора і подає його безпосередньо на MaxiProx (зчитувач очікує 10–14 В). Додаткова 5 В лінія береться з плати ESP для живлення будь-яких аксесуарів. +4. Акумулятор на 100 Вт розташований впритул до внутрішнього стійка, щоб **не було** живильних кабелів, що звисають через феритові антени, зберігаючи радіочастотну продуктивність. + +## 2. Вимикач сигналізації – безшумна робота + +1. Знайти дві контактні площадки динаміка на логічній платі MaxiProx. +2. Очистити *обидві* площадки, потім перепаяти лише **негативну** площадку. +3. Припаяти дроти 26 AWG (білий = негативний, червоний = позитивний) до площадок динаміка і провести їх через новий виріз до панельного SPST перемикача. +4. Коли перемикач відкритий, коло динаміка розривається, і зчитувач працює в повній тиші – ідеально для прихованого збору значків. +5. Встановити пружинну захисну кришку NKK AT4072 на перемикач. Обережно розширити отвір за допомогою ножівки/файлу, поки він не зафіксується на корпусі перемикача. Захисна кришка запобігає випадковій активації всередині рюкзака. + +## 3. Корпус та механічні роботи + +• Використовуйте плоскі кусачки, а потім ніж і файл, щоб *видалити* внутрішній ABS "випуклість", щоб великий акумулятор USB-C сидів рівно на стійку. +• Вирізати два паралельні канали в стіні корпусу для кабелю USB-C; це фіксує акумулятор на місці і усуває рух/вібрацію. +• Створити прямокутний отвір для **кнопки** живлення акумулятора: +1. Приклейте паперовий трафарет на місце. +2. Просвердліть 1/16″ направляючі отвори в усіх чотирьох кутах. +3. Розширте свердлом 1/8″. +4. З'єднайте отвори за допомогою ножівки; закінчіть краї файлом. +✱ Ротаційний Dremel був *уникнений* – швидкосвердлячий інструмент плавить товстий ABS і залишає непривабливий край. + +## 4. Остаточна збірка + +1. Встановити назад логічну плату MaxiProx і перепаяти SMA пигтейл до заземлювальної площадки плати зчитувача. +2. Закріпити ESP RFID Tool і тригер USB-PD за допомогою 3 M VHB. +3. Упорядкувати всі проводи за допомогою стяжок, тримаючи живильні дроти **далеко** від петлі антени. +4. Затягнути гвинти корпусу, поки акумулятор не буде легенько стиснутий; внутрішнє тертя запобігає зміщенню пакета, коли пристрій відскакує після кожного зчитування картки. + +## 5. Тести дальності та екранування + +* Використовуючи тестову картку **Pupa** 125 кГц, портативний клонер досяг стабільних зчитувань на **≈ 8 см** у вільному повітрі – ідентично мережевій роботі. +* Розміщення зчитувача всередині металевої каси з тонкими стінками (для імітації стійки банківського лобі) зменшило дальність до ≤ 2 см, підтверджуючи, що значні металеві корпуси діють як ефективні радіочастотні екрани. + +## Робочий процес використання + +1. Зарядити акумулятор USB-C, підключити його і перевести головний вимикач у положення "включено". +2. (Необов'язково) Відкрити захисну кришку динаміка і активувати звуковий зворотний зв'язок під час тестування на стенді; закрити перед прихованим польовим використанням. +3. Пройти повз цільового власника значка – MaxiProx активує картку, а ESP RFID Tool захоплює потік Wiegand. +4. Скинути захоплені облікові дані через Wi-Fi або USB-UART і відтворити/клонувати за потреби. + +## Усунення несправностей + +| Симптом | Ймовірна причина | Виправлення | +|---------|------------------|-------------| +| Зчитувач перезавантажується при подачі картки | Тригер PD домовився про 9 В, а не 12 В | Перевірте перемички тригера / спробуйте кабель USB-C з більшою потужністю | +| Немає дальності зчитування | Акумулятор або проводка лежать *на верху* антени | Перенаправте кабелі та зберігайте 2 см зазору навколо феритової петлі | +| Сигналізація все ще пищить | Перемикач підключений до позитивного проводу замість негативного | Перемістіть вимикач, щоб розірвати **негативний** шлях динаміка | + +## Посилання + +- [Давайте клонувати клонер – Частина 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together) + +{{#include ../../banners/hacktricks-training.md}} diff --git a/src/todo/radio-hacking/pentesting-rfid.md b/src/todo/radio-hacking/pentesting-rfid.md index 3d3fd9d87..e5d98d65e 100644 --- a/src/todo/radio-hacking/pentesting-rfid.md +++ b/src/todo/radio-hacking/pentesting-rfid.md @@ -4,7 +4,7 @@ ## Introduction -**Ідентифікація за радіочастотою (RFID)** є найпопулярнішим рішенням для короткочасної радіозв'язку. Зазвичай його використовують для зберігання та передачі інформації, що ідентифікує об'єкт. +**Ідентифікація за радіочастотою (RFID)** є найпопулярнішим рішенням для короткохвильового радіозв'язку. Зазвичай його використовують для зберігання та передачі інформації, що ідентифікує об'єкт. RFID-мітка може покладатися на **своє джерело живлення (активна)**, таке як вбудована батарея, або отримувати живлення від антени зчитування, використовуючи струм **індукований від отриманих радіохвиль** (**пасивна**). @@ -12,12 +12,12 @@ RFID-мітка може покладатися на **своє джерело EPCglobal ділить RFID-мітки на шість категорій. Мітка в кожній категорії має всі можливості, зазначені в попередній категорії, що робить її зворотно сумісною. -- **Клас 0** — це **пасивні** мітки, які працюють у **UHF** діапазонах. Постачальник **попередньо програмує** їх на виробничому заводі. В результаті ви **не можете змінити** інформацію, що зберігається в їх пам'яті. -- **Клас 1** мітки також можуть працювати в **HF** діапазонах. Крім того, їх можна **записати лише один раз** після виробництва. Багато міток класу 1 також можуть обробляти **циклічні контрольні суми** (CRC) команд, які вони отримують. CRC — це кілька додаткових байтів в кінці команд для виявлення помилок. -- **Клас 2** мітки можна **записувати кілька разів**. -- **Клас 3** мітки можуть містити **вбудовані датчики**, які можуть записувати параметри навколишнього середовища, такі як поточна температура або рух мітки. Ці мітки є **напівпасивними**, оскільки, хоча вони **мають** вбудоване джерело живлення, таке як інтегрована **батарея**, вони **не можуть ініціювати** бездротову **комунікацію** з іншими мітками або зчитувачами. -- **Клас 4** мітки можуть ініціювати комунікацію з іншими мітками того ж класу, що робить їх **активними мітками**. -- **Клас 5** мітки можуть забезпечувати **живлення для інших міток і спілкуватися з усіма попередніми класами міток**. Мітки класу 5 можуть діяти як **RFID зчитувачі**. +- **Клас 0** — це **пасивні** мітки, які працюють у **UHF** діапазонах. Постачальник **попередньо програмує** їх на виробництві. В результаті ви **не можете змінити** інформацію, що зберігається в їх пам'яті. +- **Клас 1** — мітки, які також можуть працювати в **HF** діапазонах. Крім того, їх можна **записати лише один раз** після виробництва. Багато міток класу 1 також можуть обробляти **циклічні контрольні суми** (CRC) команд, які вони отримують. CRC — це кілька додаткових байтів в кінці команд для виявлення помилок. +- **Клас 2** — мітки, які можна **записувати кілька разів**. +- **Клас 3** — мітки, які можуть містити **вбудовані датчики**, що можуть записувати параметри навколишнього середовища, такі як поточна температура або рух мітки. Ці мітки є **напівпасивними**, оскільки, хоча вони **мають** вбудоване джерело живлення, таке як інтегрована **батарея**, вони **не можуть ініціювати** бездротову **комунікацію** з іншими мітками або зчитувачами. +- **Клас 4** — мітки, які можуть ініціювати комунікацію з іншими мітками того ж класу, що робить їх **активними мітками**. +- **Клас 5** — мітки, які можуть надавати **живлення іншим міткам і спілкуватися з усіма попередніми класами міток**. Мітки класу 5 можуть діяти як **RFID зчитувачі**. ### Information Stored in RFID Tags @@ -25,7 +25,7 @@ EPCglobal ділить RFID-мітки на шість категорій. Мі ISO стандарт визначає значення Ідентифікатора Сімейства Застосувань (**AFI**), код, який вказує на **тип об'єкта**, до якого належить мітка. Інший важливий реєстр, також визначений ISO, — це Ідентифікатор Формату Зберігання Даних (**DSFID**), який визначає **логічну організацію користувацьких даних**. -Більшість **контролів безпеки RFID** мають механізми, які **обмежують** операції **читання** або **запису** на кожному блоці пам'яті користувача та на спеціальних реєстрах, що містять значення AFI та DSFID. Ці **механізми блокування** використовують дані, збережені в контрольній пам'яті, і мають **за замовчуванням паролі**, попередньо налаштовані постачальником, але дозволяють власникам міток **налаштовувати власні паролі**. +Більшість **контролів безпеки** RFID мають механізми, які **обмежують** **читання** або **запис** операцій на кожному блоці пам'яті користувача та на спеціальних реєстрах, що містять значення AFI та DSFID. Ці **механізми блокування** використовують дані, збережені в контрольній пам'яті, і мають **за замовчуванням паролі**, попередньо налаштовані постачальником, але дозволяють власникам міток **налаштовувати власні паролі**. ### Low & High frequency tags comparison @@ -38,14 +38,14 @@ ISO стандарт визначає значення Ідентифікато Ці пристрої покладаються на **пасивну** **RFID** технологію і працюють у **діапазоні від 30 кГц до 300 кГц**, хоча зазвичай використовують 125 кГц до 134 кГц: - **Довгий діапазон** — нижча частота означає більший діапазон. Є кілька зчитувачів EM-Marin та HID, які працюють на відстані до метра. Їх часто використовують на парковках. -- **Примітивний протокол** — через низьку швидкість передачі даних ці мітки можуть лише передавати свій короткий ID. У більшості випадків дані не аутентифікуються і не захищені жодним чином. Як тільки картка потрапляє в діапазон зчитувача, вона просто починає передавати свій ID. -- **Низька безпека** — ці картки можна легко копіювати або навіть зчитувати з кишені когось іншого через примітивність протоколу. +- **Примітивний протокол** — через низьку швидкість передачі даних ці мітки можуть лише передавати свій короткий ID. У більшості випадків дані не аутентифіковані і не захищені жодним чином. Як тільки картка потрапляє в зону дії зчитувача, вона просто починає передавати свій ID. +- **Низька безпека** — ці картки можна легко копіювати або навіть зчитувати з кишені іншої людини через примітивність протоколу. **Популярні протоколи 125 кГц:** -- **EM-Marin** — EM4100, EM4102. Найпопулярніший протокол у СНД. Може бути зчитаний з відстані близько метра через свою простоту та стабільність. +- **EM-Marin** — EM4100, EM4102. Найпопулярніший протокол у СНД. Може бути зчитаний з відстані близько метра завдяки своїй простоті та стабільності. - **HID Prox II** — протокол низької частоти, представлений HID Global. Цей протокол більш популярний у західних країнах. Він складніший, а картки та зчитувачі для цього протоколу відносно дорогі. -- **Indala** — дуже старий протокол низької частоти, який був представлений Motorola, а пізніше придбаний HID. Ви менш імовірно зустрінете його в природі в порівнянні з попередніми двома, оскільки він виходить з використання. +- **Indala** — дуже старий протокол низької частоти, який був представлений Motorola, а пізніше придбаний HID. Ви менш імовірно зустрінете його в природі в порівнянні з попередніми двома, оскільки він виходить з вжитку. Насправді існує набагато більше протоколів низької частоти. Але всі вони використовують одну й ту ж модуляцію на фізичному рівні і можуть вважатися, так чи інакше, варіацією тих, що наведені вище. @@ -62,20 +62,20 @@ flipper-zero/fz-125khz-rfid.md **Мітки високої частоти** використовуються для більш складної взаємодії між зчитувачем і міткою, коли потрібна криптографія, велика двостороння передача даних, аутентифікація тощо.\ Їх зазвичай знаходять у банківських картках, громадському транспорті та інших безпечних пропусках. -**Мітки високої частоти 13.56 МГц є набором стандартів і протоколів**. Їх зазвичай називають [NFC](https://nfc-forum.org/what-is-nfc/about-the-technology/), але це не завжди правильно. Основний набір протоколів, що використовується на фізичному та логічному рівнях, — це ISO 14443. Протоколи високого рівня, а також альтернативні стандарти (такі як ISO 19092) базуються на ньому. Багато людей називають цю технологію **Ближньою Поле Комунікацією (NFC)**, терміном для пристроїв, що працюють на частоті 13.56 МГц. +**Мітки високої частоти 13.56 МГц є набором стандартів і протоколів**. Їх зазвичай називають [NFC](https://nfc-forum.org/what-is-nfc/about-the-technology/), але це не завжди правильно. Основний набір протоколів, що використовується на фізичному та логічному рівнях, — це ISO 14443. Протоколи високого рівня, а також альтернативні стандарти (такі як ISO 19092), базуються на ньому. Багато людей називають цю технологію **Ближньою Поле Комунікацією (NFC)**, терміном для пристроїв, що працюють на частоті 13.56 МГц.
-Простими словами, архітектура NFC працює так: протокол передачі обирається компанією, що виготовляє картки, і реалізується на основі низькорівневого ISO 14443. Наприклад, NXP винайшла свій власний високорівневий протокол передачі, званий Mifare. Але на нижньому рівні картки Mifare базуються на стандарті ISO 14443-A. +Простими словами, архітектура NFC працює так: протокол передачі обирається компанією, що виготовляє картки, і реалізується на основі низькорівневого ISO 14443. Наприклад, NXP винайшла свій власний протокол передачі високого рівня, званий Mifare. Але на нижчому рівні картки Mifare базуються на стандарті ISO 14443-A. Flipper може взаємодіяти як з низькорівневим протоколом ISO 14443, так і з протоколом передачі даних Mifare Ultralight та EMV, що використовується в банківських картках. Ми працюємо над додаванням підтримки Mifare Classic та NFC NDEF. Докладний огляд протоколів і стандартів, що складають NFC, варто окремої статті, яку ми плануємо опублікувати пізніше. -Усі картки високої частоти, основані на стандарті ISO 14443-A, мають унікальний ідентифікатор чіпа. Він діє як серійний номер картки, подібно до MAC-адреси мережевої картки. **Зазвичай UID має довжину 4 або 7 байтів**, але рідко може **досягати 10**. UID не є секретом, і їх легко зчитати, **іноді навіть надруковані на самій картці**. +Усі картки високої частоти, основані на стандарті ISO 14443-A, мають унікальний ідентифікатор чіпа. Він діє як серійний номер картки, подібно до MAC-адреси мережевої картки. **Зазвичай UID має довжину 4 або 7 байтів**, але рідко може **досягати 10**. UID не є секретом, і їх легко прочитати, **іноді навіть надруковані на самій картці**. Існує багато систем контролю доступу, які покладаються на UID для **аутентифікації та надання доступу**. Іноді це відбувається **навіть** тоді, коли RFID-мітки **підтримують криптографію**. Таке **неправильне використання** знижує їх до рівня дурних **карток 125 кГц** з точки зору **безпеки**. Віртуальні картки (як Apple Pay) використовують динамічний UID, щоб власники телефонів не могли відкривати двері за допомогою свого платіжного додатку. -- **Низький діапазон** — картки високої частоти спеціально розроблені так, щоб їх потрібно було розташовувати близько до зчитувача. Це також допомагає захистити картку від несанкціонованих взаємодій. Максимальний діапазон зчитування, який нам вдалося досягти, становив близько 15 см, і це було з виготовленими на замовлення зчитувачами великого діапазону. -- **Складні протоколи** — швидкості передачі даних до 424 кбіт/с дозволяють складні протоколи з повноцінною двосторонньою передачею даних. Що, в свою чергу, **дозволяє криптографію**, передачу даних тощо. +- **Низький діапазон** — картки високої частоти спеціально розроблені так, щоб їх потрібно було розміщувати близько до зчитувача. Це також допомагає захистити картку від несанкціонованих взаємодій. Максимальний діапазон зчитування, який нам вдалося досягти, становив близько 15 см, і це було з виготовленими на замовлення зчитувачами великого діапазону. +- **Складні протоколи** — швидкості передачі даних до 424 кбіт/с дозволяють складним протоколам з повноцінною двосторонньою передачею даних. Що, в свою чергу, **дозволяє криптографію**, передачу даних тощо. - **Висока безпека** — безконтактні картки високої частоти ні в чому не поступаються смарт-карткам. Є картки, які підтримують криптографічно стійкі алгоритми, такі як AES, і реалізують асиметричну криптографію. ### Attack @@ -92,8 +92,19 @@ flipper-zero/fz-nfc.md proxmark-3.md {{#endref}} +### Building a Portable HID MaxiProx 125 kHz Mobile Cloner + +Якщо вам потрібно **довгий діапазон**, **батарейне** рішення для збору значків HID Prox® під час червоних команд, ви можете перетворити настінний **зчитувач HID MaxiProx 5375** на автономний клонер, який поміститься в рюкзаку. Повний механічний та електричний посібник доступний тут: + +{{#ref}} +maxiprox-mobile-cloner.md +{{#endref}} + +--- + ## References - [https://blog.flipperzero.one/rfid/](https://blog.flipperzero.one/rfid/) +- [Let's Clone a Cloner – Part 3 (TrustedSec)](https://trustedsec.com/blog/lets-clone-a-cloner-part-3-putting-it-all-together) {{#include ../../banners/hacktricks-training.md}}