RFID试验参考指导书专业资料.doc

1、RFID实验指引书合用所有对无线射频传感器感兴趣学生 xxx 编写 概 述一、课程目RFID无线射频实验是一门实践性很强实验课程，为了学好这门课，每个学生须完毕一定实验实践作业。通过本实验实践操作训练，可以更好理解RFID基本功能和基本用法，为后来进一步研究学习打下良好基本。本课程实验目是旨在使学生进一步扩展对无线射频方向理论知识理解；培养学生学习新技术能力以及提高学生对该方向兴趣与动手能力。二、实验名称与学时分派序号实 验 名 称学时数实验类型1环境搭建及高低频卡鉴别2验证2破解低频门禁卡信息并作卡片复制2验证3破解高频卡（多办法），读取卡内信息2综合三、实验规定1. 问题分析充分地分析和理

2、解问题自身，弄清规定做什么，涉及功能规定、性能规定、设计规定和约束。2. 原理理解在按照教程执行过程当中，需要弄清晰每一种环节为什么这样做，原理是什么。3. 实践测试按照规定执行每一步命令，仔细观测返回值，理解每项返回值表达什么意思，为什么有卡片可以破解有不可以。三、实验考核实验报告应涉及如下内容： 1、实验原理描述：简述进行实验原理是什么。2、实验操作过程：涉及实验器材、实验流程描述。3、分析报告：实验过程中遇到问题以及问题与否有解决方案。如果有，请写明如何解决；如果没有，请阐明已经做过什么尝试，仍旧没有成果导致失败。最后简述产生问题因素。4、实验体会以及可以讲该功能可以如何在其她地方发挥更

3、强大功能。注：最后实验成果须附命令行回显截图四、实验时间总学时：6学时。实验一 高低频卡鉴别一、实验目1、掌握RFID驱动等环境安装设立。2、掌握如何通过读取电压高低来区别高低频。二、实验规定1、认真阅读和掌握本实验程序。2、实际操作命令程序。3、保存回显成果，并结合原理进行分析。4、按照原理最后得出成果。三、注意事项：命令在实行时，如果想停止，不能用平时Ctrl+C或者ESC等常规结束按键（也许会导致未知损坏），只需要按下Promxmark3上黑色按钮。方形为高频天线（Proxmark3 HF Antenna 13.56MHZ）；圆形为低频天线（Proxmark3 LF Antenna 12

4、5KHz/134KHz）四、实验内容1安装驱动打开我电脑右键-属性设备管理器人体学输入设备这个“HID-compliant device”就是咱们proxmark3设备，选取“USB 人体学输入设备”普通是最下面那个，注意：不是“HID-compliant device”，更新驱动程序。然后选取：Proxmark-Driver-01-15proxmark_driverProxMark-3_RFID_Instrument.inf下一步继续安装完毕。安装完毕之后在设备管理器里面可以看到proxmark3新驱动。2软件使用所需要软件已经打包好，直接在命令行中运营D：pm3-bin-r486Win32

5、proxmark3.exe这样就算成功安装好各种环境，并可以在该命令窗口中执行命令了。3高低频卡鉴别本某些简介运用高频天线鉴别卡片高低频，可自行运用低频天线测试，原理类似。命令：hw tune ，这个命令大概需要几秒钟等待回显。当你输入完hw tune之后，窗口所显示HF antenna背面数值就是当前非工作状态下电压，当你把有关卡放在高频天线上面/下面时候，电压就会所变化了（依然是非工作状态下）。从图中咱们可以看到，当卡没有放到天线状况下电压为9.22v，而卡放在天线之后电压将为3.9v，当前电压依然是为非工作电压，但是从这个现象当中咱们会得到诸多非常故意义数据。变化出来了！第三张hw tu

6、ne成果为8.57v，是由于我把一张125kHZ门禁卡放在了高频天线上面，因此其电压降幅很低，但是如果我把一张13.56MHz卡放在上面就好像第二张图片那样子，电压会减少会诸多，有时候会是10v左右。从这个变化当中咱们就可以初步辨认出高频与低频卡区别了。所此前面测试那张卡是一张高频卡。实验二 破解低频门禁卡一、实验目1 掌握运用低频天线破解门禁卡。二、实验规定1 认真阅读和掌握本实验程序。2 上机执行教程命令。3 保存运营成果，并对其原理进行分析理解。三、注意事项l 命令在实行时，如果想停止，不能用平时Ctrl+C或者ESC等常规结束按键（也许会导致未知损坏），只需要按下Promxmark3上

7、黑色按钮。l 方形为高频天线（Proxmark3 HF Antenna 13.56MHZ）；l 圆形为低频天线（Proxmark3 LF Antenna 125KHz/134KHz）l 安装驱动等环境搭建环节已由实验一详细阐述，此处略过。四、实验内容1、简朴理解卡片门禁卡普通为T55x7标签也叫TK4100(EM4100)卡.是属于ID卡。T55x7标签成本.普通市场价格2元-3元不等.(如果批发,还能更便宜.)因此诸多地方都用T55x7标签。普通鉴别标签卡类型,不可通过卡外观大小形状来判断。T55x7参数及应用范畴：EM4100/4102感应式ID原则卡芯片：EM瑞士微电EM4102Wate

8、r工作频率：125KHZ感应距离：2-20cm尺寸：ISO原则卡/厚卡/各种异形卡封装材料：PVC、ABS-2、破解卡片由于本次测试卡为低频卡，因此连接是低频天线（LF）。命令：lfem4xem410xwatch这个命令来获取门禁Tags。执行完命令后来，则需耐心等待，读取速度不拟定，普通30分钟之内都算正常时间。过程截图如下所示：这条命令会读取EM410x标签，次取样获取ID。大某些门禁卡都将Tags作为辨认合法顾客认证标签，因此如果可以获取该Tags标签，则可以复制该门禁卡。（除非个别地方将Tags与UID绑定）最后一行“EM410x Tag ID:xxxxxxxx”，这个则是获取该卡Ta

9、gs。注意：读取Tags时候,门禁卡要放在低频天线上方，且需要电压稳定，不是每一次都可以成功获取，需要多尝试几次。3、复制门禁卡获取到Tags后来，咱们就可以拿一张同样类型空白卡进行复制。环节：先将白卡放在低频天线上，然后执行命令。命令：leem410xwriteTagID1 注：l TagID为上一步获取Tags序号；l 命令最后1表达t55x7标签；l 前面l是lf低频卡命令缩写；l 第2个e是参数em4x缩写。写完后,咱们再用命令：lfem4xem410xwatch来查看,咱们与否写进去了。在对新复制好卡执行完命令后，如果最后获取到Tags值与先前同样，或者将新卡拿到门禁系统上可以测试通

10、过，则阐明T55x7门禁卡复制成功，否则需要重新执行复制环节。实验三 破解高频卡（多办法）一、实验目掌握运用高频天线破解MIFARE Classic高频卡办法与过程。理解MIFARE Classic卡漏洞与不安全性。二、实验规定1 认真阅读和掌握本实验算法。2 按照教程执行命令，尽量实现效果。 3 保存运营成果，并结合原理进行分析。三、注意事项l 命令在实行时，如果想停止，不能用平时Ctrl+C或者ESC等常规结束按键（也许会导致未知损坏），只需要按下Promxmark3上黑色按钮。l 方形为高频天线（Proxmark3 HF Antenna 13.56MHZ）；l 圆形为低频天线（Proxm

11、ark3 LF Antenna 125KHz/134KHz）l 安装驱动等环境搭建环节已由实验一详细阐述，此处略过。三、实验内容1、基于key卡片破解通过简朴电压测试（如实验一），可以得出咱们要测试MIFARE Classic卡是高频卡。放卡前：放卡后：当拟定需要测试卡为13.56MHz卡之后，就开始需要进一步理解这卡信息了。咱们可以从hf命令集当中找到有关命令（见附录）。命令：hf 14a reader这样咱们就可以获取到该卡UID。RATS是Request for answer to select（选取应答祈求），因素是有时候Proxmark3在读取某些MIFARE Classic卡UID

12、信息时，由于无法得到RATS返回信息，会判断为非ISO14443a原则卡.国内有太多MIFARE Classic类卡，并不是NXP出产，因此Proxmark3就会浮现了这样子提示！从图中信息咱们可以看到是当前读取卡ATQA为04 00。普通ATQA为04 00数值卡，大某些都是MIFARE Classic或者是CPU兼容模式下MIFARE Classic。当咱们可以拟定卡类型之后就可以针对其特性进行有关安全测试了，普通当咱们拿到有关卡时候，咱们应当先用chk命令去检测一下测试卡与否存在出厂时遗留默认Key，默认Key A/Key B是使得MIFARE Classic系列安全问题雪上加霜重要成因

13、，由于使用默认Key导致恶意顾客可以使用其进行卡信息读取以及修改。（惯用默认key见附录）命令：hf mf chk 0 A a0a1a2a3a4a5 含义：检查0区key A与否为a0a1a2a3a4a5当回显为 isOk:01 valid key:a0a1a2a3a4a5 就阐明存在这个默认key，咱们就可以运用这个默认Key进行区块读取以及更进一步操作了。如果尝试各种默认key均不存在话，可以用如下办法。命令：hf mf mifare当输入命令后来，窗口会显示类似进度状态“.”，这个过程有时候快有时候慢，需要耐心等待。这样便可获得其中一种Nt值为524bb6a2。命令：hf mf mifa

14、re 524bb6a2当输入命令后，窗口将再一次进入进度状态，须耐心等待，如果想停止，请按黑色按钮。由于基于PRNG漏洞进行破解，因此有时候会浮现多次Nt循环，这是很正常成果，咱们需要不断运用Nt去进行真正Key破解。整个过程是漫长而乏味，因此咱们才需要借用默认Key检测来减少安全测试耗时。（关于PRNG漏洞简介请自行上网查询）最后成果为Found valid key背面值。这样咱们就对这张卡PRNG破解成功，获取到了key后来就可以对整张卡进行破解测试了。这个操作过程比较短暂，并且前提条件是必要存在一种对的Key进行操作，否者就无法继续进行。基本上MIFARE Classic安全测试就已经完

15、毕了，而基于某些全加密或者CPU兼容模式MIFARE Classic（Cryto-1算法）卡，咱们还可以使用嗅探测试去进行测试。前提是要记住嗅探模式是需要在正常交互模式下进行。2、基于交互模式下卡片破解1、正常连接Proxmark3到电脑，进入Proxmark3交互终端。2、在终端输入命令命令：hf 14a snoop3、然后将卡片放在天线上，多次读取。4、当读取完毕后等待大概5秒，按下板子上黑色按钮。（短按，按一下OK了。）此时板子上LED灯都灭掉。5、回到命令终端输入命令。命令：hf mf list如果读取成功，则可以看见如下图显示然后再运用第三方软件即可算出key值来。（演示软件为cra

16、pto1gui1.01）如果读取失败，则输入命令后来无数据附录1常用默认key：b0b1b2b3b4b54d3a99c351dd1a982c7e459aaabbccddeeff714c5c886e97587ee5f9350fa0478cc39091533cb6c723f68fd0a4f256e9a64598a7747826940b21ff5dfc00018778f700000ffe24885c598c9c58b5e4d2770a89be434f4d4d4f41434f4d4d4f4247524f55504147524f555042fc00018778f700000ffe24880297927c

17、0f77ee0042f88840722bfcc5375ff1d83f964314C4AF9D7ADEBE42BA9621E0A36fc00018778f700000ffe24880297927c0f77ee0042f88840ca0a1a2a3a4a5abcb127c6f4143612f2ee3478c134d1df9934c555f5a5dd38c9f1a97341a9fc33f974b4276914d446e33363c934fe34d934附录2某些惯用命令与注解：Help主协助命令help显示协助data图形窗口/缓冲区数据操作等等exit退出Proxmark3终端环境hf高频有关命令

18、hw硬件检测有关命令lf低频有关命令quit退出Proxmark3终端环境等同exithw硬件有关检测命令help显示协助detectreaderl/h -检测外部读卡器频率区域（选项“l”或“h”限制到低频LF或高频HF）fpgaoff设立FPGA为关闭lcd - 发送命令/数据到LCDlcdreset重置LCDreadmem从芯片中读取10进制地址存贮器reset重置Proxmark3setlfdivisor - 在12Mhz/(基数+1)驱动LF天线setmux - 设立ADC多路复用器为一种特定值tune测量天线调谐version显示Proxmark3固件版本信息lf低频有关命令hel

19、p显示协助cmdread h - 在读取之前发送命令来调节LF读卡器周期（以微妙为单位）（h选项为134）em4xEM4X卡类有关命令flexdemod解调FlexPass样本hidHID卡类有关命令indalademod224 -解调Indala样本64位UID（选项224是224位）indalacloneUID l- 克隆Indala到T55x7卡 (标签必要在天线上)(UID为16进制)(选项l表达224位UID)readh - 读取125/134 kHz低频ID标签(选项h是134)simGAP - 从可选GAP缓冲区模仿低频标签(以微秒为单位)simbidir模仿低频标签（在读卡器和

20、标签之间双向传播数据）simman GAP 模仿任意曼彻斯特低频标签tiTI卡类有关命令hitagHitag标签与应答有关vchdemodclone - 解调VeriChip公司样本t55xxT55xx卡类有关命令PCF7931PCF7931卡类有关命令Lf em4x（EM4X类卡有关命令）help显示协助em410xread时钟速率 - 提取EM410x标签IDem410xsim - 模仿EM410x标签em410xwatch读取EM410x标签，次取样获取IDem410xwrite -把EM410x UID写入T5555(Q5)或T55x7标签em4x50read从EM4x50标签中读取数

21、据readword-读取EM4xxx字符数据readwordPWD-在密码模式下读取EM4xxx字符数据writeword-写入EM4xxx字符数据writewordPWD-在密码模式下写入EM4xxx字符数据Hf高频有关命令help显示协助14aISO14443A卡有关命令14bISO14443B卡有关命令15ISO15693卡有关命令epa德国身份证有关命令legicLEGIC卡有关命令iclassICLASS卡有关命令mfMIFARE卡有关命令tune持续测量高频天线调谐Hf 14a有关命令help显示协助list列出窃听到ISO14443A类卡与读卡器通信历史记录reader读取ISO

22、14443A类卡UID等数据cuids收集指定数目随机UID，显示开始和结束时间sim - 模仿ISO14443A类标签snoop窃听ISO14443A类卡与读卡器通信数据raw使用RAW格式命令发送指令到标签Hf mf（MIFARE卡有关命令）help显示协助dbg设立默认调试模式rdbl读取MIFARE classic卡区块数据rdsc读取MIFARE classic卡扇区数据dump导出MIFARE classic卡数据到二进制文献restore从二进制文献恢复数据到空白MIFARE classic卡wrbl改写MIFARE classic卡区块数据chk测试MIFARE classic

23、卡各个区块KEY A/Bmifare基于PRNG漏洞，执行mifare “DarkSide”袭击操作nested测试嵌套认证漏洞，基于一种已知Key，获取均有扇区Keyssniff嗅卡片与读写器之间通讯(等同于hf 14a snoop)sim模仿一种MIFARE卡片eclr清除仿真内存各区块数据eget获取仿真内存各区块数据eset设立仿真内存各区块数据eload从导出文献加载仿真数据esave导出保存仿真数据到文献ecfill运用仿真器keys来弥补仿真内存ekeyprn打印输出仿真内存中keyscsetuid直接设立可改UID卡UIDcsetblk把相应区块数据写入UID卡cgetblk读取UID卡相应区块数据cgetsc读取UID卡相应扇区数据cload写入dump数据到UID卡csave保存UID卡数据到文献或者仿真内存Hf 14b有关命令help显示协助demod调制ISO14443B合同标签list列出窃听到ISO14443B类卡与读卡器通信历史记录read读取ISO14443B类卡信息sim模仿ISO14443B类标签simlisten从高频样本中模仿ISO14443B类标签snoop监听ISO14443B类卡与读卡器之间通信数据sri512read - 读取SRI512标签内容srix4kread - 读取SRIX4K标签内容raw使用RAW格式命令发送指令到标签