Góðan dag til allra. Ég ætla að byrja á bakgrunninum um hvað varð til þess að ég gerði þessa rannsókn, en fyrst vil ég vara þig við: Allar raunhæfar aðgerðir voru gerðar með samþykki stjórnarmannanna. Allar tilraunir til að nota þetta efni til að fara inn á haftasvæði án réttar til að vera þar er refsivert.
Þetta byrjaði allt þegar ég var að þrífa borðið og setti óvart RFID inngangslykilinn á ACR122 NFC lesandann - ímyndaðu þér undrun mína þegar Windows spilaði hljóðið af því að uppgötva nýtt tæki og ljósdíóðan varð græn. Fram að þessari stundu trúði ég því að þessir lyklar virka eingöngu í nálægðarstaðlinum.
En þar sem lesandinn sá það þýðir það að lykillinn uppfyllir eina af samskiptareglunum ofan á ISO 14443 staðlinum (aka Near Field Communication, 13,56 MHz). Þrifið gleymdist strax þar sem ég sá tækifæri til að losa algjörlega við lyklasettið og geyma lykilinn að innganginum í símanum mínum (íbúðin hefur lengi verið búin rafrænum læsingu). Þegar ég byrjaði að læra komst ég að því að undir plastinu er falið Mifare 1k NFC merki - sama gerð og í fyrirtækjamerkjum, flutningakortum o.s.frv. Tilraunir til að komast inn í innihald geiranna báru ekki árangur í fyrstu og þegar lykillinn var loksins klikkaður kom í ljós að aðeins 3. geirinn var notaður og UID sjálfrar flísarinnar var afritaður í honum. Það leit of einfalt út, og það reyndist svo, og það yrði engin grein ef allt gengi nákvæmlega eins og til stóð. Svo ég fékk innstungu lykilsins og það eru engin vandamál ef þú þarft að afrita lykilinn í annan af sama tagi. En verkefnið var að flytja lykilinn í farsíma, sem ég gerði. Hér byrjaði fjörið - við erum með síma - iPhone SE með staðfestu iOS 13.4.5 Beta smíða 17F5044d og sumir sérsniðnir íhlutir fyrir ókeypis notkun á NFC - ég mun ekki staldra við þetta í smáatriðum af einhverjum hlutlægum ástæðum. Ef þess er óskað, á allt sem sagt er hér að neðan einnig við um Android kerfið, en með nokkrum einföldunum.
Listi yfir verkefni til að leysa:
- Fáðu aðgang að innihaldi lykilsins.
- Innleiða getu til að líkja eftir lykli með tækinu.
Ef allt var tiltölulega einfalt með það fyrsta, þá voru vandamál með þann seinni. Fyrsta útgáfan af keppinautnum virkaði ekki. Vandamálið uppgötvaðist nokkuð fljótt - í farsímum (annaðhvort iOS eða Android) í hermiham er UID kraftmikið og, burtséð frá því hvað er tengt inn í myndina, flýtur það. Önnur útgáfan (keyrt með ofurnotendaréttindum) festi raðnúmerið stíft á þann sem valinn var - hurðin opnaðist. Hins vegar vildi ég gera allt fullkomlega og endaði á því að setja saman fullkomna útgáfu af keppinautnum sem gæti opnað Mifare dumpa og líkt eftir þeim. Ég lét undan skyndilegri hvatningu, breytti geiralyklinum í handahófskennda og reyndi að opna hurðina. Og hún… OPNAÐ! Eftir smá stund áttaði ég mig á því að þeir voru að opna allir hurðir með þessum læsingu, jafnvel þær sem upprunalegi lykillinn passaði ekki á. Í þessu sambandi bjó ég til nýjan lista yfir verkefni til að klára:
- Finndu út hvers konar stjórnandi er ábyrgur fyrir að vinna með lykla
- Skilja hvort það sé nettenging og sameiginlegur grunnur
- Finndu út hvers vegna nánast ólæsilegur lykill verður alhliða
Eftir að hafa talað við verkfræðing hjá rekstrarfyrirtækinu komst ég að því að einfaldar Iron Logic z5r stýringar eru notaðar án þess að tengjast utanaðkomandi neti.
CP-Z2 MF lesandi og IronLogic z5r stjórnandi
Ég fékk sett af búnaði fyrir tilraunirnar:
Eins og ljóst er héðan er kerfið algjörlega sjálfstætt og ákaflega frumstætt. Í fyrstu hélt ég að stjórnandinn væri í námsham - meiningin er að hann lesi lykilinn, geymir hann í minni og opnar hurðina - þessi stilling er notuð þegar það þarf að skrá alla lykla, til dæmis þegar skipt er um læsa í fjölbýlishúsi. En þessi kenning var ekki staðfest - slökkt er á þessari stillingu í hugbúnaði, stökkvarinn er í vinnustöðu - og samt, þegar við tökum tækið upp, sjáum við eftirfarandi:
Skjáskot af hermiferlinu á tækinu
... og stjórnandi gefur til kynna að aðgangur hafi verið veittur.
Þetta þýðir að vandamálið liggur í hugbúnaði annað hvort stjórnandans eða lesandans. Við skulum athuga lesandann - hann virkar í iButton ham, svo við skulum tengja Bolid öryggisborðið - við munum geta skoðað úttaksgögnin frá lesandanum.
Stjórnin verður síðar tengd í gegnum RS232
Með því að nota aðferð margra prófana komumst við að því að lesandinn sendir út sama kóða með ef heimildarbilun er: 1219191919
Staðan er farin að skýrast en í augnablikinu er mér ekki ljóst hvers vegna stjórnandi bregst jákvætt við þessum kóða. Gert er ráð fyrir að þegar gagnagrunnurinn var fylltur - fyrir slysni eða viljandi var kort með öðrum geiralyklum framvísað - sendi lesandinn þennan kóða og stjórnandi vistað hann. Því miður er ég ekki með sérforritara frá IronLogic til að skoða lyklagagnagrunn stjórnandans, en ég vona að mér hafi tekist að vekja athygli á því að vandamálið er til staðar. Myndbandssýning á því að vinna með þennan varnarleysi er fáanleg .
PS Kenningunni um handahófskennd samlagningu er andmælt þeirri staðreynd að í einni viðskiptamiðstöðinni í Krasnoyarsk tókst mér líka að opna dyrnar með sömu aðferð.
Heimild: www.habr.com