Трюки и фокусы с SDR Proxmark на низких частотах

Автор: Nahuel Grisolia

В этой статье мы рассмотрим процедуру обновления программного обеспечения для программно-определяемой системы Proxmark, а затем погрузимся в мир низких частот (на примере технологии RFID), сниффинга, клонирования, эмуляции, EM4X-меток и коснемся легендарной карты T55x7.

Начнем с процедуры обновления:

$ make clean
$ export PATH=$PATH:/YOUR_PATH_TO/gcc-arm-none-eabi-4_7-2013q2/bin/

(возможно, вам также понадобится LUA версии 5.2.1 или выше)

$ make all
$ cd client
$ ./flasher /dev/tty.usbmodemfa131 -b ../bootrom/obj/bootrom.elf

(обратите внимание, ваш tty может отличаться).

Отсоединяемся и подключаемся заново.

$ ./flasher /dev/tty.usbmodemfa131 ../armsrc/obj/fpgaimage.elf

(и вновь обратите внимание на tty. Если произошло зависание во время обновления, отсоедините плату и во время подключения, держите кнопку нажатой; во время перепрошивки также удерживайте кнопку нажатой).

Последний шаг:

$ ./flasher /dev/tty.usbmodemfa131 ../armsrc/obj/osimage.elf

Теперь мы готовы загрузить клиент:

$ ./proxmark3 /dev/tty.usbmodemfa131
proxmark3>

Если вы видите вышеуказанные строчки, значит, процедура обновления прошла успешно!

Несколько замечаний касательно работы с низкими частотами по технологии RFID:

1. Необходимо подключить низкочастотную антенну к плате Proxmark3

Рисунок 1: Низкочастотная антенна

2. Основные рабочие частоты: 125 и 134 кГц. Большинство меток работают на частоте 125 кГц.

3. В основном эти метки используются в охранных системах на входе в больших компаниях, домах, парковках и т. д.

4. Наиболее известные бренды по данной тематике - EM и HID.

Используя Proxmark3, мы будем перехватывать EM41XX-метки, что не составляет особого труда. Поместите антенну недалеко (в радиусе нескольких сантиметров) от исследуемого бейджа (или идентификационной карточки). Затем выполните команду:

proxmark3> lf em4x em410xwatch

Результаты будут примерно следующими:

#db# buffer samples: 79 78 78 78 78 78 4c 23 …
Reading 16000 samples
Done!
Auto-detected clock rate: 64
Thought we had a valid tag but failed at word 1 (i=45)
Thought we had a valid tag but failed at word 1 (i=109)
Thought we had a valid tag but failed at word 1 (i=173)
Thought we had a valid tag but failed at word 1 (i=237)
EM410x Tag ID: 34003aca60
Unique Tag ID: c200c53560

Не успев моргнуть глазом, мы получили EM41XX tag ID. Теперь можно пойти двумя путями: сделать эмуляцию или клонирование.

Для эмуляции используйте следующую команду:

proxmark3> lf em4x em410xsim 34003aca60

Результаты работы команды:

Sending data, please wait…
Starting simulator…
proxmark3>

На запуск эмулятора потребуется около 15 секунд. Это нормально. Затем вы увидите мерцающие диоды на плате Proxmark3, что говорит о работающем процессе эмуляции метки, которую мы добыли. После этого поднесите антенну к устройству для считывания карт, и дело в шляпе!

Чтобы клонировать метку, мы будем использовать тег T55X7, но вы также можете использовать тег Q5 (T5555). T55X7 карты доступны в нашем магазине.

Рисунок 2: Карта T55X7

Поместите карту T55x7 над низкочастотной антенной и выполните следующую команду:

proxmark3> lf em4x em410xwrite 34003aca60 1

Результаты будут примерно такими:

Writing T55x7 tag with UID 0x34003aca60 (clock rate: 64)
#db# Started writing T55x7 tag …
#db# Clock rate: 64
#db# Tag T55x7 written with 0xff992001a98a301c

На всякий случай можно запустить команду дважды.

Теперь вы можете поднести карту к устройству и удостовериться, что все работает. Но в этот раз мы обошлись без использования громоздкой антенны.

Существует множество систем, использующих токены и ключи от компании EM (EM Microelectronic). Все эти устройства можно «взломать» при помощи вышеуказанных инструкций. Звучит пугающе, не правда ли?!