破解门禁卡:Wiegotcha RFID窃取技术详解

本文详细介绍了如何利用Wiegotcha设备结合树莓派和长距离读卡器,实时捕获并存储 proximity card 凭证,揭示门禁系统缺乏加密和双向认证的安全隐患。

收集 proximity card 凭证:Wiegotcha

David Fletcher//

我在eBay上关注了许多物品,其中包括长距离 proximity card 读卡器。最近,我以不到100美元的价格买到了一个全新的HID MaxiProx 5375读卡器。我必须买下它!这些设备在2014年Black Hat USA大会上成为焦点,当时Bishop Fox发布了Tastic RFID Thief。

https://www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/
https://www.youtube.com/watch?v=1fszkxcJt7U

对于不了解的人来说,下面所示的读卡器通常用于大门或车库入口,以便从更远的距离读取 proximity card。根据读卡器配置和使用的卡,这个距离可以达到1-6英尺。

Tastic RFID Thief通过添加一个微控制器(Arduino Nano)来武器化这个读卡器,该微控制器充当门控制器,并将从不知情受害者读取的凭证存储在SD卡上,以便后续用于制作重复的 proximity card。这一活动暴露了卡、读卡器和控制器之间缺乏加密和双向认证的问题。

我最初的目标是使用新获得的读卡器构建一个Tastic RFID Thief。然而,这被证明有些困难,因为Bishop Fox零件列表上的原始零件难以采购。在寻找合适的替代零件并研究为不同微控制器重构原始代码时,我发现了Wiegotcha。

https://github.com/lixmk/Wiegotcha
http://exfil.co/2017/01/17/wiegotcha-rfid-thief/

该设备通过用树莓派替换Arduino微控制器,将Tastic RFID Thief提升到了一个新的水平。树莓派解决方案使用hostapd集成了一个无线接入点。通过使用手机连接到接入点,操作员可以通过自动刷新的网页实时观察捕获的凭证,该网页显示卡的详细信息。

该设备的零件列表非常简单,需要:

  • 12/5V电池组
  • 电平转换器
  • 实时时钟
  • 跳线
  • 树莓派

下面可以看到一个使用树莓派B+ v1.2的完全组装设备。

Web界面按最新日期/时间显示捕获的凭证,并支持搜索和下载所有凭证到CSV文件。

Wiegotcha GitHub仓库支持Raspbian Jessie版本。然而,我的设备都运行Raspbian Stretch,一切正常。我已经修改了仓库中的构建说明,以匹配我在Raspbian Stretch上的经验。

手动安装模式

“手动”安装是我用来让设备启动和运行的方法。请随意探索install.sh和laststep.sh以完全理解它们的作用。

  1. 烧录一个新的raspbian SD卡。您可以使用Stretch或Stretch-lite。
  2. 运行 sudo su – 成为root用户。
  3. 运行 raspi-config 并根据需要更改默认键盘布局。
  4. 确保Git客户端和ntp已安装:apt-get update && apt-get install git ntp
  5. 在/root中运行 git clone https://github.com/sunfounder/SunFounder_RTC_Nano.git
  6. 运行 cd SunFounder_RTC_Nano && ./install.sh
  7. 安装脚本将设置RTC并重新启动设备。
  8. 在/root中运行 git clone https://github.com/lixmk/Wiegotcha.git
  9. 运行 cd Wiegotcha && ./install.sh
  10. 安装脚本将引导您完成所有步骤,包括重新启动。
  11. 第一次重新启动后,运行 screen -dr install(作为root用户)。
  12. 按照说明完成安装的最后步骤。
  13. 继续进行硬件安装。

硬件安装

详细说明:http://exfil.co/2017/01/17/wiegotcha-rfid-thief/
简短版本:

  • 将RTC放在RPi的GPIO上,从引脚1(左上角)开始,沿左侧向下到引脚9。
  • 将RPi引脚4连接到电平转换器HV in。
  • 将RPi引脚6连接到电平转换器LV gnd。
  • 将RPi引脚11连接到电平转换器LV 1。
  • 将RPi引脚12连接到电平转换器LV 4。
  • 将RPi引脚17连接到电平转换器LV in。
  • 读卡器TB1-3连接到电池地(黑色)。
  • 读卡器TB1-1连接到电池12v(红色)。
  • 读卡器TB2-1连接到电平转换器HV 1。
  • 读卡器TB2-2连接到电平转换器HV 4。
  • 读卡器TB1-2连接到电平转换器HV gnd。
  • 可选:移除扬声器。
  • 可选:焊接触觉电机。

上面的演示器使用了工作在125 KHz的HID MaxiProx 5375读卡器。相同的设置无需修改即可运行Indala ASR-620和HID R90长距离读卡器。前者也是一个125 KHz读卡器,支持HID Indala卡格式,后者工作在13.56 MHz,支持HID iClass卡。

这三种设备的组合在物理渗透测试中可以成为宝贵的资产。当与BLEKey和其他物理安全绕过工具和技术结合使用时,它们可以让客户全面了解其物理安全态势中的任何弱点。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次