Magandang araw sa lahat. Magsisimula ako sa background tungkol sa kung ano ang nag-udyok sa akin na isagawa ang pananaliksik na ito, ngunit babalaan ko muna kayo: ang lahat ng praktikal na aksyon ay isinagawa nang may pahintulot ng mga istrukturang namamahala. Ang anumang pagtatangka na gamitin ang materyal na ito upang pumasok sa isang pinaghihigpitang lugar na walang karapatang pumunta doon ay isang kriminal na pagkakasala.
Nagsimula ang lahat nang, habang naglilinis ng mesa, hindi ko sinasadyang inilagay ang RFID entrance key sa ACR122 NFC reader - isipin ang aking pagkagulat nang ang Windows ay nagpatugtog ng tunog ng pag-detect ng isang bagong device at ang LED ay naging berde. Hanggang sa sandaling ito, naniniwala ako na ang mga key na ito ay gumagana nang eksklusibo sa Proximity standard.
Ngunit dahil nakita ito ng mambabasa, nangangahulugan ito na ang susi ay nakakatugon sa isa sa mga protocol sa itaas ng pamantayang ISO 14443 (aka Near Field Communication, 13,56 MHz). Ang paglilinis ay agad na nakalimutan, dahil nakakita ako ng isang pagkakataon upang ganap na mapupuksa ang hanay ng mga susi at panatilihin ang susi sa pasukan sa aking telepono (ang apartment ay matagal nang nilagyan ng electronic lock). Sa pagsisimula ng pag-aaral, nalaman kong nakatago sa ilalim ng plastic ang isang Mifare 1k NFC tag - ang parehong modelo tulad ng sa mga enterprise badge, transport card, atbp. Ang mga pagtatangka na makapasok sa mga nilalaman ng mga sektor ay hindi nagdala ng tagumpay sa una, at nang sa wakas ay na-crack ang susi, lumabas na ang ika-3 sektor lamang ang ginamit, at ang UID ng chip mismo ay nadoble dito. Ito ay mukhang masyadong simple, at ito ay naging gayon, at walang magiging artikulo kung ang lahat ay magiging eksakto tulad ng binalak. Kaya natanggap ko ang mga giblet ng susi, at walang mga problema kung kailangan mong kopyahin ang susi sa isa pang kaparehong uri. Ngunit ang gawain ay ilipat ang susi sa isang mobile device, na kung ano ang ginawa ko. Dito nagsimula ang kasiyahan - mayroon kaming telepono - iPhone SE may naka-install iOS 13.4.5 Beta build 17F5044d at ilang mga pasadyang bahagi para sa libreng pagpapatakbo ng NFC - Hindi ko ito tatalakayin nang detalyado dahil sa ilang mga layuning dahilan. Kung ninanais, ang lahat ng sinabi sa ibaba ay nalalapat din sa Android system, ngunit may ilang mga pagpapasimple.
Listahan ng mga gawain upang malutas:
- I-access ang mga nilalaman ng susi.
- Ipatupad ang kakayahang tularan ang isang susi ng device.
Kung sa una ang lahat ay medyo simple, kung gayon sa pangalawa ay may mga problema. Ang unang bersyon ng emulator ay hindi gumana. Mabilis na natuklasan ang problema - sa mga mobile device (maaaring iOS o Android) sa emulation mode, ang UID ay dynamic at, anuman ang naka-hardwired sa imahe, lumulutang ito. Ang pangalawang bersyon (tumatakbo na may mga karapatan ng superuser) ay mahigpit na naayos ang serial number sa napiling isa - binuksan ang pinto. Gayunpaman, gusto kong gawin ang lahat nang perpekto, at natapos ang pagsasama-sama ng kumpletong bersyon ng emulator na maaaring magbukas ng mga dump ng Mifare at tularan ang mga ito. Nagbigay sa isang biglaang salpok, pinalitan ko ang mga susi ng sektor sa mga arbitrary at sinubukan kong buksan ang pinto. At siya⦠BINUKSAN! Maya-maya pa ay napagtanto kong nagbubukas na sila anumang mga pinto na may ganitong lock, kahit na ang mga kung saan ang orihinal na susi ay hindi magkasya. Kaugnay nito, gumawa ako ng bagong listahan ng mga gawain na dapat tapusin:
- Alamin kung anong uri ng controller ang responsable sa pagtatrabaho sa mga susi
- Unawain kung mayroong koneksyon sa network at isang karaniwang base
- Alamin kung bakit nagiging unibersal ang halos hindi nababasang key
Pagkatapos makipag-usap sa isang inhinyero sa kumpanya ng pamamahala, nalaman ko na ang mga simpleng controller ng Iron Logic z5r ay ginagamit nang hindi kumokonekta sa isang panlabas na network.
CP-Z2 MF reader at IronLogic z5r controller
Binigyan ako ng isang set ng kagamitan para sa mga eksperimento:
Tulad ng malinaw mula dito, ang sistema ay ganap na nagsasarili at lubhang primitive. Sa una naisip ko na ang controller ay nasa mode ng pag-aaral - ang ibig sabihin ay binabasa nito ang susi, iniimbak ito sa memorya at binubuksan ang pinto - ginagamit ang mode na ito kapag kinakailangan upang i-record ang lahat ng mga susi, halimbawa, kapag pinapalitan ang mag-lock sa isang apartment building. Ngunit ang teoryang ito ay hindi nakumpirma - ang mode na ito ay naka-off sa software, ang jumper ay nasa gumaganang posisyon - ngunit, kapag dinala namin ang aparato, nakikita namin ang sumusunod:
Screenshot ng proseso ng pagtulad sa device
... at ang controller ay nagpapahiwatig na ang pag-access ay naibigay na.
Nangangahulugan ito na ang problema ay nasa software ng alinman sa controller o ng reader. Suriin natin ang mambabasa - ito ay gumagana sa iButton mode, kaya't ikonekta natin ang Bolid security board - magagawa nating tingnan ang output data mula sa mambabasa.
Ang board ay ikokonekta sa ibang pagkakataon sa pamamagitan ng RS232
Gamit ang paraan ng maraming pagsubok, nalaman namin na ang mambabasa ay nagbo-broadcast ng parehong code kung sakaling mabigo ang awtorisasyon: 1219191919
Nagsisimula nang maging mas malinaw ang sitwasyon, ngunit sa ngayon ay hindi malinaw sa akin kung bakit positibong tumugon ang controller sa code na ito. May isang palagay na kapag ang database ay napuno - sa aksidente o sa layunin ng isang card na may iba pang mga susi ng sektor ay ipinakita - ipinadala ng mambabasa ang code na ito at nai-save ito ng controller. Sa kasamaang palad, wala akong proprietary programmer mula sa IronLogic upang tingnan ang database ng controller key, ngunit umaasa ako na nakuha ko ang pansin sa katotohanan na ang problema ay umiiral. Available ang isang video demonstration ng pagtatrabaho sa kahinaan na ito .
PS Ang random na teorya ng karagdagan ay sinasalungat ng katotohanan na sa isang sentro ng negosyo sa Krasnoyarsk ay nagawa ko ring buksan ang pinto gamit ang parehong paraan.
Pinagmulan: www.habr.com