记一次梯控卡复制
麻麻说上班要刷梯控卡太麻烦,因此让我帮她拷进手环里,一看她的手环没有nfc,不过没关系,买一张nfc手机贴一样能解决
前置知识
| 卡片类型(IC卡) | 特性 |
|---|---|
| M1卡 | 标准卡,UID全球唯一,0扇区0区块不可修改,其余扇区可写 |
| UID卡 | 所有扇区均可写,使用后门指令操作,因此可被防火墙识别后门指令拦截 |
| CUID卡 | 所有扇区均可写,没有后门指令,使用协议标准指令写卡 |
| FUID卡 | 0扇区0区块只允许写入一次,写入后即锁定(一次性写入,写入完成后同M1卡) |
| UFUID卡 | 可手动控制卡是否锁定,锁卡即为M1卡,不锁定即为UID卡 |
| 其他 | |
|---|---|
| ID卡 | 只有卡号,安全性低,并且频率与IC卡不同,手机nfc读不了 |
| CPU卡 | 内置CPU、内存等,加密等级高,难解 |
卡片容量
- 标准m1卡及复制卡(s50):1KB,16扇区
- s70复制卡:4KB,32扇区
不得不提一嘴,4KB的复制卡真的很难买到😒
- 滚动码:梯控常用,每刷一次卡片滚码和系统同步更新,制作复制卡并刷卡后即会导致原卡滚码位与系统内不一致,导致原卡报废,有些系统刷了滚码不一致的卡片也可能会封卡号,导致旧卡新卡都报废,复制可以使用gdm卡,一卡变多卡需要发新卡
工具准备
- 1kb cuid复制卡
- 小熊猫gp3
- pcr532软件
尝试
- 首先用pcr532软件进行解卡,解出的数据是16个扇区,并且根据分析是康拓1梯控(这时也许可以直接发卡,这里只研究复制)
- 我使用了一张1KB的cuid复制卡进行复制写入
- 交给麻麻后让她去试一试,结果说刷卡不通过,只能刷了原来的卡
再次解卡,这次同时解密了原卡和被刷过的复制卡,发现了两点问题:
- 原卡的滚码位没有发生变化,说明没有滚码验证机制,我不需要使用专门的gdm卡进行复制
- 复制卡的0扇区0块被清空了,显然系统做了防复制卡的机制:尝试写入0扇区0块,因为标准m1卡的0扇区0块出厂写死,是不可更改的,能写入的必然是复制卡
- 这么看,只需要用一张1KB的fuid或者ufuid复制卡就可以解决这个问题
结束
- 其实如果仅仅需要复制,其实gp3就有变色龙功能,可以直接模拟m1卡
- pcr532的Windows端有bug,打不开4kb s70的dump文件,可以用手机pcr532
更多教程