Sugeng siang kanggo kabeh. Aku bakal miwiti karo latar mburi babagan apa sing nyebabake aku nindakake riset iki, nanging pisanan aku bakal ngelingake sampeyan: kabeh tumindak praktis ditindakake kanthi idin saka struktur sing ngatur. Sembarang upaya kanggo nggunakake materi iki kanggo mlebu ing wilayah sing diwatesi tanpa hak ana ing kana iku pelanggaran pidana.
Kabeh diwiwiti nalika, nalika ngresiki meja, aku ora sengaja nyelehake tombol mlebu RFID ing maca ACR122 NFC - mbayangno kagetku nalika Windows muter swara ndeteksi piranti anyar lan LED dadi ijo. Nganti saiki, aku percaya yen tombol kasebut bisa digunakake sacara eksklusif ing standar Proximity.
Nanging amarga sing maca ndeleng, tegese kunci kasebut cocog karo salah sawijining protokol ing ndhuwur standar ISO 14443 (alias Near Field Communication, 13,56 MHz). Reresik langsung dilalekake, amarga aku weruh kesempatan kanggo ngilangi set kunci lan nyimpen kunci lawang ing telpon (apartemen wis suwe dilengkapi kunci elektronik). Sawise sinau, aku ngerti manawa sing didhelikake ing plastik yaiku tag Mifare 1k NFC - model sing padha karo lencana perusahaan, kertu transportasi, lsp. Nyoba kanggo njaluk menyang isi saka sektor ora nggawa sukses ing kawitan, lan nalika tombol pungkasanipun retak, iku nguripake metu mung sektor 3rd digunakake, lan UID chip dhewe wis duplikat ing. Iku katon banget prasaja, lan ternyata, lan ora bakal ana artikel yen kabeh mlaku kaya sing direncanakake. Dadi aku nampa giblets tombol, lan ora ana masalah yen sampeyan kudu nyalin tombol kanggo siji liyane saka jinis padha. Nanging tugas kanggo nransfer tombol menyang piranti seluler, sing daktindakake. Iki ngendi kesenengan diwiwiti - kita duwe telpon - iPhone SE karo mantep iOS 13.4.5 Beta mbangun 17F5044d lan sawetara komponen khusus kanggo operasi gratis NFC - Aku ora bakal ngrembug babagan iki kanthi rinci amarga sawetara alasan objektif. Yen dikarepake, kabeh ngandika ing ngisor iki uga ditrapake kanggo sistem Android, nanging karo sawetara simplifications.
Dhaptar tugas sing kudu ditanggulangi:
- Ngakses isi tombol.
- Ngleksanakake kemampuan kanggo niru tombol dening piranti.
Yen karo pisanan kabeh iku relatif prasaja, lan kaloro ana masalah. Versi pisanan emulator ora bisa digunakake. Masalah kasebut ditemokake kanthi cepet - ing piranti seluler (ing iOS utawa Android) ing mode emulasi, UID dinamis lan, preduli saka apa sing dipasang ing gambar kasebut, ngambang. Versi kapindho (mlaku kanthi hak superuser) kanthi kaku tetep nomer serial ing sing dipilih - lawang dibukak. Nanging, Aku wanted kanggo nindakake kabeh sampurna, lan rampung munggah sijine bebarengan versi lengkap emulator sing bisa mbukak dumps Mifare lan emulate wong. Ngasilake impuls dadakan, aku ngganti kunci sektor dadi sewenang-wenang lan nyoba mbukak lawang. Lan dheweke⦠DIBUKA! Sawise sawetara wektu aku ngerti yen dheweke mbukak sembarang lawang karo kunci iki, malah sing tombol asli ora pas. Ing babagan iki, aku nggawe dhaptar tugas anyar sing kudu dirampungake:
- Temokake apa jenis controller sing tanggung jawab kanggo nggarap tombol
- Ngerti manawa ana sambungan jaringan lan basis umum
- Temokake sebabe kunci sing meh ora bisa diwaca dadi universal
Sawise ngobrol karo insinyur ing perusahaan manajemen, aku sinau manawa pengontrol z5r Iron Logic sing gampang digunakake tanpa nyambungake menyang jaringan eksternal.
CP-Z2 MF maca lan IronLogic z5r controller
Aku diwenehi set peralatan kanggo eksperimen:
Kaya sing wis dingerteni ing kene, sistem kasebut pancen otonom lan primitif banget. Kaping pisanan, aku mikir yen pengontrol ana ing mode sinau - tegese maca kunci, nyimpen ing memori lan mbukak lawang - mode iki digunakake nalika perlu kanggo ngrekam kabeh tombol, contone, nalika ngganti kunci ing bangunan apartemen. Nanging tΓ©ori iki ora dikonfirmasi - mode iki dipateni ing piranti lunak, jumper ing posisi apa - nanging nalika kita munggah piranti, kita ndeleng ing ngisor iki:
Gambar saka proses emulasi ing piranti
... lan controller sinyal sing akses wis diwenehake.
Iki tegese masalah dumunung ing piranti lunak salah siji controller utawa maca. Ayo dipriksa maca - kerjane ing mode iButton, supaya nyambungake papan keamanan Bolid - kita bakal bisa ndeleng data output saka maca.
Papan kasebut mengko bakal disambungake liwat RS232
Nggunakake metode tes kaping pirang-pirang, kita ngerteni manawa pamaca nyiarake kode sing padha yen gagal otorisasi: 1219191919
Kahanan iki wiwit dadi luwih cetha, nanging ing wektu iki ora cetha kanggo kula kok controller nanggapi positif kanggo kode iki. Ana anggepan yen nalika database diisi - kanthi ora sengaja utawa sengaja diwenehi kertu karo tombol sektor liyane - sing maca ngirim kode iki lan controller disimpen. Sayange, aku ora duwe programmer kepemilikan saka IronLogic kanggo dipikir ing database tombol controller, nanging Mugi aku bisa kanggo narik kawigaten manungsa waΓ© kanggo kasunyatan sing masalah ana. Demonstrasi video babagan nggarap kerentanan iki kasedhiya .
PS Teori tambahan acak ditentang dening kasunyatan manawa ing salah sawijining pusat bisnis ing Krasnoyarsk aku uga bisa mbukak lawang kanthi cara sing padha.
Source: www.habr.com