Трюки и фокусы с SDR Proxmark на низких частотах
В этой статье мы рассмотрим процедуру обновления программного обеспечения для программно-определяемой системы Proxmark, а затем погрузимся в мир низких частот (на примере технологии RFID), сниффинга, клонирования, эмуляции, EM4X-меток и коснемся легендарной карты T55x7.
Автор: Nahuel Grisolia
В этой статье мы рассмотрим процедуру обновления программного обеспечения для программно-определяемой системы Proxmark, а затем погрузимся в мир низких частот (на примере технологии RFID), сниффинга, клонирования, эмуляции, EM4X-меток и коснемся легендарной карты T55x7.
Начнем с процедуры обновления:
$ make clean
$ export PATH=$PATH:/YOUR_PATH_TO/gcc-arm-none-eabi-4_7-2013q2/bin/
(возможно, вам также понадобится LUA версии 5.2.1 или выше)
$ make all
$ cd client
$ ./flasher /dev/tty.usbmodemfa131 -b ../bootrom/obj/bootrom.elf
(обратите внимание, ваш tty может отличаться).
Отсоединяемся и подключаемся заново.
$ ./flasher /dev/tty.usbmodemfa131 ../armsrc/obj/fpgaimage.elf
(и вновь обратите внимание на tty. Если произошло зависание во время обновления, отсоедините плату и во время подключения, держите кнопку нажатой; во время перепрошивки также удерживайте кнопку нажатой).
Последний шаг:
$ ./flasher /dev/tty.usbmodemfa131 ../armsrc/obj/osimage.elf
Теперь мы готовы загрузить клиент:
$ ./proxmark3 /dev/tty.usbmodemfa131
proxmark3>
Если вы видите вышеуказанные строчки, значит, процедура обновления прошла успешно!
Несколько замечаний касательно работы с низкими частотами по технологии RFID:
1. Необходимо подключить низкочастотную антенну к плате Proxmark3
Рисунок 1: Низкочастотная антенна
2. Основные рабочие частоты: 125 и 134 кГц. Большинство меток работают на частоте 125 кГц.
3. В основном эти метки используются в охранных системах на входе в больших компаниях, домах, парковках и т. д.
4. Наиболее известные бренды по данной тематике - EM и HID.
Используя Proxmark3, мы будем перехватывать EM41XX-метки, что не составляет особого труда. Поместите антенну недалеко (в радиусе нескольких сантиметров) от исследуемого бейджа (или идентификационной карточки). Затем выполните команду:
proxmark3> lf em4x em410xwatch
Результаты будут примерно следующими:
#db# buffer samples: 79 78 78 78 78 78 4c 23 …
Reading 16000 samples
Done!
Auto-detected clock rate: 64
Thought we had a valid tag but failed at word 1 (i=45)
Thought we had a valid tag but failed at word 1 (i=109)
Thought we had a valid tag but failed at word 1 (i=173)
Thought we had a valid tag but failed at word 1 (i=237)
EM410x Tag ID: 34003aca60
Unique Tag ID: c200c53560
Не успев моргнуть глазом, мы получили EM41XX tag ID. Теперь можно пойти двумя путями: сделать эмуляцию или клонирование.
Для эмуляции используйте следующую команду:
proxmark3> lf em4x em410xsim 34003aca60
Результаты работы команды:
Sending data, please wait…
Starting simulator…
proxmark3>
На запуск эмулятора потребуется около 15 секунд. Это нормально. Затем вы увидите мерцающие диоды на плате Proxmark3, что говорит о работающем процессе эмуляции метки, которую мы добыли. После этого поднесите антенну к устройству для считывания карт, и дело в шляпе!
Чтобы клонировать метку, мы будем использовать тег T55X7, но вы также можете использовать тег Q5 (T5555). T55X7 карты доступны в нашем магазине.
Рисунок 2: Карта T55X7
Поместите карту T55x7 над низкочастотной антенной и выполните следующую команду:
proxmark3> lf em4x em410xwrite 34003aca60 1
Результаты будут примерно такими:
Writing T55x7 tag with UID 0x34003aca60 (clock rate: 64)
#db# Started writing T55x7 tag …
#db# Clock rate: 64
#db# Tag T55x7 written with 0xff992001a98a301c
На всякий случай можно запустить команду дважды.
Теперь вы можете поднести карту к устройству и удостовериться, что все работает. Но в этот раз мы обошлись без использования громоздкой антенны.
Существует множество систем, использующих токены и ключи от компании EM (EM Microelectronic). Все эти устройства можно «взломать» при помощи вышеуказанных инструкций. Звучит пугающе, не правда ли?!