Goeie dei oan allegearre. Ik begjin mei de eftergrûn oer wat my oantrún hat om dit ûndersyk út te fieren, mar earst sil ik jo warskôgje: alle praktyske aksjes binne útfierd mei ynstimming fan de bestjoersstruktueren. Elke besykjen om dit materiaal te brûken om in beheind gebiet yn te gean sûnder it rjocht om dêr te wêzen is in kriminele fergryp.
It begon allegear doe't ik by it skjinmeitsjen fan 'e tafel per ûngelok de RFID-yngongskaai op' e ACR122 NFC-lêzer pleatste - stel jo myn ferrassing foar doe't Windows it lûd spile fan it ûntdekken fan in nij apparaat en de LED waard grien. Oant dit momint leaude ik dat dizze toetsen eksklusyf wurkje yn 'e Proximity-standert.
Mar om't de lêzer it seach, betsjut it dat de kaai foldocht oan ien fan 'e protokollen boppe op' e ISO 14443-standert (aka Near Field Communication, 13,56 MHz). Skjinmeitsjen waard fuortendaliks fergetten, om't ik in kâns seach om de set fan kaaien folslein kwyt te reitsjen en de kaai foar de yngong yn myn tillefoan te hâlden (it appartemint is al lang foarsjoen fan in elektroanysk slot). Nei't ik begon te studearjen, fûn ik út dat ûnder it plestik in Mifare 1k NFC-tag ferburgen is - itselde model as yn bedriuwsbadges, transportkaarten, ensfh. Besikingen om yn 'e ynhâld fan' e sektoaren te kommen, brochten earst gjin sukses, en doe't de kaai úteinlik kreake waard, die bliken dat allinich de 3e sektor brûkt waard, en de UID fan 'e chip sels waard deryn duplikearre. It like te ienfâldich, en it die bliken dat it sa wie, en der soe gjin artikel wêze as alles krekt gie lykas pland. Dat ik krige de yngevels fan 'e kaai, en d'r binne gjin problemen as jo de kaai moatte kopiearje nei in oare fan deselde soarte. Mar de taak wie om de kaai oer te bringen nei in mobyl apparaat, dat is wat ik die. Dit is wêr't de wille begon - wy hawwe in tillefoan - iPhone SE mei ynstallearre iOS 13.4.5 Beta build 17F5044d en guon oanpaste komponinten foar fergese eksploitaasje fan NFC - Ik sil hjir net yn detail oer neigean fanwegen guon objektive redenen. As jo wolle, jildt alles hjirûnder ek foar it Android-systeem, mar mei wat ferienfâldigingen.
List fan taken om op te lossen:
- Tagong ta de ynhâld fan de kaai.
- Implementearje de mooglikheid om in kaai te emulearjen troch it apparaat.
As mei de earste alles relatyf ienfâldich wie, dan wiene d'r problemen mei de twadde. De earste ferzje fan de emulator wurke net. It probleem waard frij fluch ûntdutsen - op mobile apparaten (of iOS as Android) yn emulaasjemodus is de UID dynamysk en driuwt, nettsjinsteande wat yn 'e ôfbylding hardwired is. De twadde ferzje (rinne mei superuser-rjochten) fêstige it serialnûmer stiif op 'e selekteare - de doar iepene. Ik woe lykwols alles perfekt dwaan, en kaam úteinlik in folsleine ferzje fan 'e emulator gear dy't Mifare-dumps koe iepenje en se emulearje. Ik joech my oan in hommels ympuls, en feroare de sektorkaaien yn willekeurige en besocht de doar te iepenjen. En sy... OPENEN! Nei in skoftke besefte ik dat se iepen wiene eltse doarren mei dit slot, sels dy dêr't de orizjinele kaai net paste. Yn dit ferbân haw ik in nije list mei taken makke om te foltôgjen:
- Fyn út hokker soarte kontrôler ferantwurdlik is foar it wurkjen mei kaaien
- Begripe oft der in netwurk ferbining en in mienskiplike basis
- Fyn út wêrom't in frijwol net lêsbere kaai universeel wurdt
Nei it praten mei in yngenieur by it behear bedriuw, Ik learde dat ienfâldige Iron Logic z5r controllers wurde brûkt sûnder ferbining mei in ekstern netwurk.
CP-Z2 MF lêzer en IronLogic z5r controller
Ik krige in set apparatuer foar de eksperiminten:
Lykas hjirwei dúdlik is, is it systeem folslein autonoom en ekstreem primityf. Earst tocht ik dat de kontrôler yn learmodus wie - de betsjutting is dat it de kaai lêst, it yn it ûnthâld opslacht en de doar iepenet - dizze modus wurdt brûkt as it nedich is om alle kaaien op te nimmen, bygelyks by it ferfangen fan de kaai slot yn in appartemintegebou. Mar dizze teory waard net befêstige - dizze modus is útskeakele yn software, de jumper is yn 'e wurkposysje - en dochs, as wy it apparaat ophelje, sjogge wy it folgjende:
Skermôfbylding fan it emulaasjeproses op it apparaat
... en de controller sinjalearret dat tagong is ferliend.
Dit betsjut dat it probleem leit yn 'e software fan sawol de controller as de lêzer. Litte wy de lêzer kontrolearje - it wurket yn iButton-modus, dus litte wy it Bolid-befeiligingsboerd ferbine - wy sille de útfiergegevens fan 'e lêzer kinne besjen.
It bestjoer wurdt letter ferbûn fia RS232
Mei help fan de metoade fan meardere tests, wy fine út dat de lêzer útstjoert deselde koade mei yn gefal fan autorisaasje mislearjen: 1219191919
De situaasje begjint dúdliker te wurden, mar op it stuit is it my net dúdlik wêrom't de controller posityf reagearret op dizze koade. Der is in oanname dat doe't de databank waard ynfolle - by ûngelok of opsetsin waard presintearre in kaart mei oare sektor kaaien - de lêzer stjoerde dizze koade en de controller bewarre it. Spitigernôch haw ik gjin proprietêre programmeur fan IronLogic om te sjen yn 'e controller-kaaidatabank, mar ik hoopje dat ik de oandacht koe tekenje op it feit dat it probleem bestiet. In fideodemonstraasje fan wurkjen mei dizze kwetsberens is beskikber .
PS De teory fan willekeurige tafoeging wurdt tsjinsteld troch it feit dat ik yn ien saaklik sintrum yn Krasnoyarsk ek slagge om de doar te iepenjen mei deselde metoade.
Boarne: www.habr.com