「一卡通」手机NFC模拟加密门禁卡

缘起：

那天回家，到小区门口时我又像往常一样掏出手机轻轻一刷，伴随着门禁机温柔女声“欢迎回家”的提示语下，小区大门缓缓打开；然后我在保安大哥惊讶的目光下，洋洋自得地缓缓步入小区……

让我万万没想到的是，这对我来讲稀松平常的一幕，正好被小区里一位正在溜狗的漂亮小姐姐看到。小姐姐主动和我打招呼，赞美之词溢于言表，并问我是怎么做到的；我脚步不停，斜睨了一眼小姐姐手中提子色的iphone12扬长而去，当我走出老远才甩出一句“so easy！”

……

卡片分类：

• ID卡：全称身份识别卡(Identification Card)，低频(频率有125Khz、250 Khz、375 Khz、500 Khz……)，是一种不可写入的感应卡，含固定的编号，主要有台湾SYRIS的EM格式，美国HID、TI、MOTOROLA等各类ID卡。
• IC卡：全称集成电路卡(Integrated Circuit Card)，又称智能卡(Smart Card)。多为高频(13.56Mhz)，可读写数据、容量大、有加密功能、数据记录可靠、使用更方便，如一卡通系统、消费系统等，目前主要有PHILIPS的Mifare系列卡。
• CPU卡：也称智能卡，卡内的集成电路中带有微处理器CPU、存储单元（包括随机存储器RAM、程序存储器ROM（FLASH）、用户数据存储器EEPROM）以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机，不仅具有数据存储功能，同时具有命令处理和数据安全保护等功能。

PS1：目前使用ID卡的多是一些老旧小区，这种卡手机的NFC是模拟不了的（手机NFC是13.56Mhz）；然后现在用IC卡的小区居多，但分两种情况（1、只用IC卡号，行业内俗称“IC当ID用”这种用手机的NFC直接模拟就好；2、会写入数据并加密扇区，这种就要通过一定手段处理）；还有一些高端小区开始采用CPU卡，这种手机NFC是复制不了的（公交卡、身份证、银行卡这些都是CPU卡，而且身份证还是国密CPU卡）。

PS2：卡片详解：

ID卡

• ID卡 EM4XX系列，多为EM4100/EM4102卡，常用的固化ID卡，出厂固化ID，只能读不能写；常用于低成本门禁卡，小区门禁卡，停车场门禁卡；
• ID白卡 EM4305或T5577，可用来克隆ID卡，出厂为白卡，内部EEPROM可读可写，修改卡内EEPROM的内容即可修改卡片对外的ID号，达到复制普通ID卡的目的；
  T5577写入ID号可以变身成为ID卡，写入HID号可以变身HID卡，写入Indala卡号，可以变身Indala卡（目前有T5557、T5567、T5577卡，酒店使用居多）。
• HID卡
  全称HID ProxⅡ，美国常用的低频卡，可擦写，不与其他卡通用；

IC卡

• M1卡 全称Mifare1，是最常见的卡，有S50和S70之分（S50：8Kbit，16个分区；S70：32Kbit，32个分区）；出厂固化UID（UID即指卡号，全球唯一），可存储修改数据；常用于学生卡、饭卡、早期公交卡、门禁卡；
• M0卡 全称Mifare UltraLight，相当于M1卡的精简版，容量更小、功能更少，但价格更低，出厂固化UID，可存储修改数据；

IC复制卡：

IC卡的芯片号具有唯一性，但中国人造出了复制卡，芯片号可擦写；复制卡在国外圈子里被称为“中国魔术卡”。

• UID卡 全称Mifare UID Chinese magic card，M1卡的变异版本，使用后门指令(magic指令)，可修改UID（UID在block0分区），可以用来完整克隆M1卡的数据；
  但是现在新的读卡系统通过检测卡片对后门指令的回应，可以检测出UID卡，因此可以来拒绝UID卡的访问，来达到屏蔽复制卡的功能（即UID防火墙系统）；
• CUID卡 为了避开UID防火墙系统，CUID卡应运而生，取消响应后门指令(magic指令)，可修改UID，是目前市场上最常用的复制卡；
  近两年，智能卡系统制造公司，根据CUID卡的特性研发出CUID卡防火墙；
• FUID卡 FUID卡只能写一次UID，写完之后自动固化UID所在分区，就等同M1卡，目前除了滚动码防火墙系统，能应对大多防火墙系统，复制的卡几乎和原卡一模一样；
  但缺点也相对明显，价格高、写坏卡率高，写错就废卡。
• UFUID卡 集UID卡和FUID卡的优点于一身，使用后门指令，可修改UID，再手动锁卡，变成M1卡。
  可先反复读写UID，确认数据无误，手动锁卡变成M1，解决了UID卡的UID防火墙屏蔽，也解决FUID的一次性写入容易写错的问题，且价格比FUID卡还便宜；

自从IC卡2009年被德国工程师破解后，梯控行业大厂不屑于研究滚动码，都直接开发CPU卡系统，但价格昂贵，导致很多年都没推广开来；很多小厂近几年一直在开发滚动码系统，导致复制的卡只能有一张可用（现在又出来了GUID卡，据说可以锁死滚动位，屏蔽滚动码系统），但从事复制行业的人又开始研究算法，自制软件，模拟软件发卡，又绕开了滚动码系统。

可谓“道高一尺，魔高一丈”，此消彼长，永不消停。

IC卡还有一种接触式IC卡，这个和T55x7卡一样，一些老酒店和小酒店在用

IC卡数据结构：

M1 S50卡有从0到15共16个扇区，每个扇区配备了从0到3共4个数据段，每个数据段可以保存16字节的内容；每个扇区中的段按照0~3编号，第4个段中包含KEYA（密钥A 6字节）、控制位（4字节）、KEYB（密钥B 6字节），每个扇区可以通过它包含的密钥A或者密钥B单独加密；

每张M1卡都有一个全球唯一的UID号，这个UID号保存在卡的第一个扇区（0 扇区）的第一段（0 编号数据段），也称为厂商段。其中前4个字节是卡的UID，第5个字节是卡 UID 的校验位，6、7字节是卡标识，剩下的是厂商数据。

并且这个段在出厂之前就会被设置了写入保护，只能读取不能修改，前面各种能修改UID的卡，UID是没有设置保护的，也就是厂家不按规范生产的卡。
除了第0扇区外，其它每个扇区都把段0、段1、段2作为了数据段，用于保存数据。
数据段的数据类型可以被区尾的控制位（Access Bits）配置为读/写段（用于譬如无线访问控制）或者值段（用于譬如电子钱包）。
值段有固定的存储格式，只能在值段格式的写操作时产生，值段可以进行错误检测和纠正并备份管理，其有效命令包括读、写、加、减、传送、恢复。

非加密IC卡和加密IC卡的区别：非加密IC卡中所有扇区的KEYA和KEYB数值都是默认值FFFFFFFFFFFF；
而加密IC卡中，其中有扇区的KEYA和KEYB不等于FFFFFFFFFFFF，部分扇区加密的卡称半加密IC卡，所有扇区都加密的卡称全加密IC卡。

一般的读卡器，像手机的NFC，是读不到IC卡的加密数据的，需要用专门的工具，比如CD100、icopy8、PN532、ACR122U、Proxmark3等等；前两个也叫傻瓜机，多见锁匠使用，后边几个大多是从业人员和发烧友在用。

对于IC卡，除了对卡上数据加密，还有滚动码加密、服务器数据验证等技术。
因此，对IC卡的解密，更多的是门禁卡、签到卡、车库卡等的讨论，像公交卡、饭卡等涉及到资金问题的，基本都会采用设备联网方式、有服务器定期校验，得先搞定服务器再说，难度高还违法。

手机NFC模拟加密门禁卡

首先，手机NFC能识别到的卡，不管加密没加密，只要能读出数据，就是IC卡（0扇区0块的6、7字节：08 04是IC卡，20是纯CPU卡，28是复合卡（就是CPU+IC，复制卡圈子里叫 模拟卡），遇到后两种直接放弃，手机是模拟不了的）；加密卡在目前单用手机的NFC是无法解密的。

部分门禁系统只认证IC卡的UID（目前很多可视对讲和部分门禁就在用这种方式，俗称IC当ID；电梯梯控几乎不用这个模式），如果用NFC工具读卡后，发现卡片所有密码都是FFFFFFFFFFFF，这时直接用小米或者华为钱包直接模拟门禁卡就好（只认卡号的卡和有数据但没加密的卡均可这样处理）。

PS：一卡通，顾名思义：一张卡负责整个小区大门门禁、单元可视对讲、电梯梯控，甚至还有电动车充电、停车场等等。所以当遇到加密卡时先不要慌，先用MifareClassicTool（安卓手机软件）读出卡号，然后把卡号定稿UID卡中，最后用手机模拟该UID卡。然后去门禁机刷卡测试，如果可以用，那么恭喜你；如果失败了，请不要气馁，继续往下看。

（MifareClassicTool的大概流程，具体细节请自行问度娘）

复制机常见的有CD300、icopy8、PN532、ACR122U、Proxmark3等等，前两个多用于锁匠，后三个一卡通从业者及发烧友使用比较多。价格方面从低到高依次PN532、ACR122U、Proxmark3，破解能力也如此从低到高（看来是钞能力决定了物能力）。

笔者近期用pm3（Proxmark3的简称）比较多，所以只写这个教程，其他两个自行问度娘。

先上家靓照：

Proxmark，确切来说是prox（接近的），mark（标签），翻译过来的意思就是“不用接触、靠近就能刷的卡片”。现在有把一些IC卡也叫NFC标签的。

PM3最先是由外国一大学生为了毕业设计，开发的一个开源硬件，用于破解一些智能卡，IC、ID都能读写。然后开始有团队开发固件和软件，设计改版硬件，维护PM3项目。

现在国内常见的硬件，主要有rdv系列的3个版本，easy、rdv2和rdv4。其实easy也属于rdv系列，全称应该是rdv easy，最常见，最便宜。rdv2贵一点，rdv4更贵，国内应该很难买（rdv4是能够读写CPU卡和接触卡的，当初出来时团队公开声明不在国内销售）。

纵观淘宝上，每个商家都说自己是正版；其实都是抄版，PM3项目是直接在github上开源的，包括电路图。目前淘宝商家说的4.0、5.0，甚至6.0，都是从pm3 easy版本变异来的，要么和变色龙（嗅探器）整合，要么加了电池或者液晶屏，实质功能没有什么改进，一切都是噱头。

上两张变异版照片：

言归正传，下边开始讲解操作步骤：

先将PM3通过数据线和电脑连接起来，然后打开PM3软件（或者使用命令）；最后把加密的门禁卡放在PM3的感应区。

点击下图中的“一键自动解析”，然后等待破解完成（PM3的工作原理：就是利用IC卡的漏洞，一次次进行密码测试，直至破解开。因硬件来自开源社区，优化并不好，如果没有解开就多试几次，遇到死机就重新插拔设备并重启软件）。

破解开后根据提示读出卡片数据，并保存数据，切记是.dump格式。然后复制卡号（0扇区0块的前4字节）；放上UID卡并读取，待读取完毕把卡号替换成复制的卡号。

将修改卡号后的UID卡放到手机NFC感应区，打开华为钱包—智卡—模拟实体门禁卡，等待生成。

等生成完毕，选择卡面并写入卡片名称，就如右上图所示了。

稍等，至此还没有完成，剩最最最后一步，也是最最最关键的一步。继续往下走着。

将手机放在PM3的感应区，并调出该卡片；把刚刚破解并保存的文件载入PM3软件右侧。

等待写入写成。至此手机模拟加密门禁卡就完成了。赶紧去门禁机上刷卡试试吧，“惊呆保安，迎娶白富美，从此你将走上发家致富大道”。

PS：如果嫌以上太麻烦，而你又和物业发卡员熟悉，那你直接在钱包里生成空白门禁卡，然后让发卡员给你直接授权就好了。

再PS：苹果手机的pay是不对外开放的，只能添加部分银行卡和交通卡，这时候怎么办呢？先在苹果pay中开启一张交通卡，然后去物业授权（前提是门禁只读卡号，就是IC当ID用模式，加密卡对于苹果手机无解）（明白开始时我看了眼小姐姐手里的提子色iphone12，不为所动扬长而去的原因了吧？）

再再PS：手环和智能手表同理，一样的操作，只是载体不同罢了。

（部分图片来自网络，如有侵权，立马删除。本文只是测试，禁止用作商业用途。）

（如果需要工具，请私信我。）

-- -- -- -- -- -- -- -- -- -- -- END -- -- -- -- -- -- -- -- -- -- --

我是小白，智能家居爱好者、一卡通行业从业者、曾经的建筑智能化从业者。