在「(一)」中,我們介紹了一些簡單的原理,還有如何從加密卡提出UID到手環。請務必要試過並了解才能進行(二)
首先,本篇是教您「如何寫入」,而不是「破解加密」,
所以破解方面,請自己找有機器的人去破解出密鑰,取得整個M1卡的Dump檔(此檔案大小會剛好1k)。或是直接網購買即可。
一般加密門卡,只有一兩組密鑰,所以用便宜幾百塊的讀卡機就可以;而像悠遊卡是32組密鑰的全加密卡,便宜讀卡機是解不出來的。
所須設備與(一)中所須的一樣,再加上取得要寫入卡片的dump檔。
1) 安卓NFC一台,安裝MIFARE Classic Tool。
2) 買一張CUID卡(大陸稱CUID, 在此App中稱2nd gen magic tag)。
3) 當然要一個陸版小米、華米手環或手表。
4) 取得要寫入卡片的dump檔。
步驟簡述:
1) 先使用(一)中的方式,把Dump檔中的UID寫入CUID卡,並讓手環模擬。
2) 然後再用手機對手環寫入其它的部份即可。
詳細步驟:
先把Dump檔放進手機,打開App,選Tools
選最下面的選項
選Import Dump
剛剛的Dump檔就被轉成mct檔,再點下面的Open Dump File
這時就把Dump讀進來了,然後我們要導出所有的密鑰,選右上角的點點點,再選「Save Keys」,自己選個名字存起來。
然後複製一下UID,準備等一下寫到CUID卡上。(注意:只複製前4bytes,也就是8個字母)
再回到App的最前面選Tools,再選Clone UID,
點下圖圈起來的「貼上」圖示,把剛剛複製的UID貼上
再點中間的「Generate Block 0 and Clone UID」,會進入等待寫入狀態,
然後把CUID卡放到手機後面寫入,出現Successful就是完成了。
接下來就是用手環App的模擬功能,把這張剛剛完成的CUID卡模擬到手環中。過程跟(一)中的一樣。這裡就省略了,現在假設你已經模擬好了。以上就是讓手環模擬了一張跟Dump檔一樣UID的卡片,但內容都是空的。接下來就準備寫入其它內容。
在手機App中點選右上的「WRITE TAG」
選第二個「Write Dump (Clone)」並點「Select Dump」,然後選取之前Import的檔案
它自動是全部的Sectors都選,然後點選OK
然後寫入需要密鑰,請點選剛剛導出的密鑰,並加選std.keys
手環切換到剛剛寫入的卡片,然後放到手機後面NFC的位置,點下下面的「START MAPPING AND WRITE DUMP」就開始寫了。
若跳出「Data successfully written」,基本上這樣就成功了,但有時即使還會失敗,建議要把手環中的卡片讀出來比對一下。
讀出來的方法也很重要,未來換手表、手環,都可以將卡片讀出來,寫到新手環。
選Read Tag
教你如何使用NFC手機寫入陸版手環的加密IC門禁卡(二)
勾選正確密鑰與std.keys
然後手環放到手機後面,點下面的「START.....TAG」開始讀。讀完後,右上點點點選「Compare Dump」,並選擇之前的Dump檔來比較。
(註:若是要轉到新手環上,就選「Export Dump」,然後同方法寫到新手環即可。)
比較後,必須確定所有的內容都是相同「Identical」,下圖就是說有相異的地方,就是沒寫成功,會標紅色「X」。若沒成功,請把此卡自手環中刪除,重新模擬、重新寫入,直到全部相同才行。
一切都沒問題的話,手環中就可以有悠遊卡、加密門禁卡、未加密門禁卡,隨時可以切換,非常方便。
註1:寫入時若有出現類似下面錯誤訊息,跟比對錯誤一樣,也都是要刪掉重來。
不刪掉重來也不是不行,但必須要了解其原理,要針對是密鑰錯誤還是內容錯誤來處理,不好解釋。
註2:小米、華米的手環模擬,只能模擬UID,它不會去模擬廠商編號,而我們悠遊卡系統恰好不會去檢查廠商編號,所以使用上沒問題。但一卡通會有時會檢查,因為一卡通的UID有可能與悠遊卡的UID相同,就會用廠商編號來分此卡是悠遊卡還是一卡通,若被發現廠商編號不合,這張一卡通就會被鎖卡,而不能使用。所以一卡通不建議模擬進手環。
註3:想到知道悠遊卡剩多少錢,可以把手環放到手機後面,用同樣的方式讀出來,然後看Sector 2的前4bytes,轉成10進位即可。如下例框起來的地方,就是16進位的0174,轉10進位就是372元。
註4:這只是方便生活使用,別去改錢(其實它還有別的加密),系統每天都會同步資料到伺服器,你會馬上被抓到,千萬不要以身試法。
