Chúc một ngày tốt lành cho tất cả. Tôi sẽ bắt đầu với thông tin cơ bản về điều gì đã thôi thúc tôi thực hiện nghiên cứu này, nhưng trước tiên tôi sẽ cảnh báo bạn: tất cả các hành động thực tế đều được thực hiện với sự đồng ý của các cơ cấu quản lý. Bất kỳ nỗ lực nào sử dụng tài liệu này để vào khu vực cấm mà không có quyền vào đó đều là phạm tội hình sự.
Mọi chuyện bắt đầu khi trong lúc lau bàn, tôi vô tình đặt phím vào RFID trên đầu đọc ACR122 NFC - hãy tưởng tượng sự ngạc nhiên của tôi khi Windows phát âm thanh phát hiện thiết bị mới và đèn LED chuyển sang màu xanh lục. Cho đến thời điểm này, tôi tin rằng các khóa này chỉ hoạt động theo tiêu chuẩn Lân cận.
Nhưng vì người đọc đã nhìn thấy nó, điều đó có nghĩa là khóa đáp ứng một trong các giao thức trên tiêu chuẩn ISO 14443 (còn gọi là Giao tiếp trường gần, 13,56 MHz). Việc dọn dẹp ngay lập tức bị lãng quên, vì tôi nhìn thấy cơ hội để loại bỏ hoàn toàn bộ chìa khóa và giữ chìa khóa cửa vào trong điện thoại của mình (căn hộ từ lâu đã được trang bị khóa điện tử). Khi bắt đầu nghiên cứu, tôi phát hiện ra rằng ẩn dưới lớp nhựa là thẻ NFC Mifare 1k - mẫu tương tự như trong huy hiệu doanh nghiệp, thẻ giao thông, v.v. Nỗ lực đi sâu vào nội dung của các lĩnh vực ban đầu không mang lại thành công và khi chìa khóa cuối cùng bị bẻ khóa, hóa ra chỉ có khu vực thứ 3 được sử dụng và UID của chính con chip đã được sao chép trong đó. Nhìn đơn giản quá mà hóa ra lại là như vậy, nếu mọi chuyện diễn ra đúng như kế hoạch thì sẽ chẳng có bài viết gì. Vì vậy, tôi đã nhận được chìa khóa và sẽ không có vấn đề gì nếu bạn cần sao chép chìa khóa này sang một chiếc chìa khóa khác cùng loại. Nhưng nhiệm vụ là chuyển chìa khóa sang thiết bị di động, đó là điều tôi đã làm. Đây là nơi cuộc vui bắt đầu - chúng tôi có một chiếc điện thoại - iPhone SE với thành lập Bản dựng iOS 13.4.5 Beta 17F5044d và một số thành phần tùy chỉnh để NFC hoạt động miễn phí - Tôi sẽ không nói chi tiết về vấn đề này vì một số lý do khách quan. Nếu muốn, mọi điều được nêu dưới đây cũng áp dụng cho hệ thống Android nhưng có một số đơn giản hóa.
Danh sách các nhiệm vụ cần giải quyết:
- Truy cập nội dung của khóa.
- Triển khai khả năng giả lập một phím bằng thiết bị.
Nếu với cái đầu tiên, mọi thứ tương đối đơn giản thì với cái thứ hai lại có vấn đề. Phiên bản đầu tiên của trình giả lập không hoạt động. Vấn đề được phát hiện khá nhanh - trên các thiết bị di động (iOS hoặc Android) ở chế độ mô phỏng, UID rất linh hoạt và bất kể nội dung nào được gắn vào hình ảnh, nó vẫn nổi. Phiên bản thứ hai (chạy với quyền siêu người dùng) đã cố định chắc chắn số sê-ri trên phiên bản đã chọn - cửa mở. Tuy nhiên, tôi muốn làm mọi thứ một cách hoàn hảo và cuối cùng đã tạo ra một phiên bản hoàn chỉnh của trình giả lập có thể mở các kho lưu trữ Mifare và mô phỏng chúng. Chịu sự thôi thúc bất ngờ, tôi đổi chìa khóa khu vực thành chìa khóa tùy ý và cố gắng mở cửa. Và cô ấy… MỞ! Sau một thời gian tôi nhận ra rằng họ đang mở bất kỳ những cánh cửa có khóa này, ngay cả những cửa mà chìa khóa gốc không vừa. Về vấn đề này, tôi đã tạo một danh sách nhiệm vụ mới cần hoàn thành:
- Tìm hiểu loại bộ điều khiển nào chịu trách nhiệm làm việc với các phím
- Hiểu được có kết nối mạng và cơ sở chung hay không
- Tìm hiểu lý do tại sao một khóa hầu như không thể đọc được lại trở nên phổ biến
Sau khi nói chuyện với một kỹ sư ở công ty quản lý, tôi được biết rằng bộ điều khiển Iron Logic z5r đơn giản được sử dụng mà không cần kết nối với mạng bên ngoài.
Đầu đọc CP-Z2 MF và bộ điều khiển IronLogic z5r
Tôi được tặng một bộ thiết bị để làm thí nghiệm:
Như đã rõ ở đây, hệ thống này hoàn toàn tự động và cực kỳ nguyên thủy. Lúc đầu tôi nghĩ bộ điều khiển đang ở chế độ học - nghĩa là nó đọc chìa khóa, lưu vào bộ nhớ và mở cửa - chế độ này được sử dụng khi cần ghi lại tất cả các chìa khóa, chẳng hạn như khi thay chìa khóa khóa trong một tòa nhà chung cư. Nhưng lý thuyết này chưa được xác nhận - chế độ này bị tắt trong phần mềm, jumper ở vị trí hoạt động - tuy nhiên, khi đưa thiết bị lên, chúng ta thấy như sau:
Ảnh chụp màn hình quá trình giả lập trên thiết bị
... và bộ điều khiển báo hiệu rằng quyền truy cập đã được cấp.
Điều này có nghĩa là vấn đề nằm ở phần mềm của bộ điều khiển hoặc đầu đọc. Hãy kiểm tra đầu đọc - nó hoạt động ở chế độ iButton, vì vậy hãy kết nối bảng bảo mật Bolid - chúng ta sẽ có thể xem dữ liệu đầu ra từ đầu đọc.
Bảng sau này sẽ được kết nối qua RS232
Sử dụng phương pháp kiểm tra nhiều lần, chúng tôi phát hiện ra rằng đầu đọc sẽ phát cùng một mã trong trường hợp ủy quyền không thành công: 1219191919
Tình hình đang bắt đầu trở nên rõ ràng hơn, nhưng hiện tại tôi không rõ tại sao bộ điều khiển lại phản ứng tích cực với mã này. Có một giả định rằng khi cơ sở dữ liệu được lấp đầy - do vô tình hoặc cố ý, một thẻ có các khóa khu vực khác được đưa ra - người đọc đã gửi mã này và bộ điều khiển đã lưu nó. Thật không may, tôi không có lập trình viên độc quyền của IronLogic để xem xét cơ sở dữ liệu khóa của bộ điều khiển, nhưng tôi hy vọng tôi có thể thu hút sự chú ý đến thực tế là vấn đề đang tồn tại. Đã có video trình diễn cách xử lý lỗ hổng này .
Tái bút Lý thuyết bổ sung ngẫu nhiên bị phản đối bởi thực tế là tại một trung tâm thương mại ở Krasnoyarsk, tôi cũng đã mở được cửa bằng phương pháp tương tự.
Nguồn: www.habr.com