Buenos días.

Me he topado con una tarjeta RFID que tiene la particularidad de poseer 2 sectores más de los 16 normales (0 al 15) que tiene una Mifare Classic 1K. Probablemente se trate de una Vigik

Con proxmark3 he podido extraer todas la keys de los 18 los sectores.

El último sector 17 es totalmente legible con la clave B aunque no se puede escribir pues tiene los derechos de acceso en el sector trailer fijados en 70F0F8:

[=]   # | Access rights
[=] ----+-----------------------------------------------------------------
[=]   0 | read B
[=]   1 | read B
[=]   2 | read B
[=]   3 | read ACCESS by AB

Este sector 17 contiene la TAG IC Signature en el segundo y tercer bloque. En el primer bloque hay bytes escritos que no se a qué corresponden, pero parecen ser un identificador.

El sector 16 existe pero no es posible leerlo ni escribirlo. Cualquier intento de lectura con la clave correcta arroja el error 04:

[usb] pm3 --> hf mf rdbl --blk 67 -a -k 5C8FF9990DA2

• Cmd Error 04
• Read block error

[usb] pm3 --> hf mf rdbl --blk 67 -b -k D01AFEEB890A

• Cmd Error 04
• Read block error

[usb] pm3 --> hf mf rdsc --sec 16 -b -k D01AFEEB890A

• Cmd Error 04
• Read sector 16 block  0 error

[usb] pm3 --> hf mf rdsc --sec 16 -a -k 5C8FF9990DA2

• Cmd Error 04
• Read sector 16 block  0 error

Probablemente se trate de una protección física; un sector deliberadamente erróneo por hardware como parte de la protección anticopia (al estilo de los antiguos CDs de juegos). Y digo por hardware porque aún queriendo simularlo en el bloque trailer colocando los derechos de acceso a FFFFFF, debería poder leerse el último bloque del sector y eso no sucede pues:

[usb] pm3 --> hf mf acl -d ffffff

[!!] Invalid Access Conditions, NEVER write these on a card!

[=]   # | Access rights
[=] ----+-----------------------------------------------------------------
[=]   0 | none
[=]   1 | none
[=]   2 | none
[=]   3 | read ACCESS by AB

Asi que la protección principal debe estar precisamente en ese sector 16 que debe arrojar deliberadamente ese error 04 ante cualquier intento de lectura y escritura.

Concluciones sobre su posible (o imposible) clonación:

1. Sería necesaria una tarjeta UID de al menos 2K (para que pueda tener los sectores 16 y 17). Creo que no existen por lo que habría que irse a una S70 de 4K.
2. El sector 17 no habria problema en replicarlo.
3. En cuanto al sector 16, creo que daría igual su contenido a excepción del cuarto bloque que debería contener las keys A y B y además unos permisos de acceso para el usuario 69 que no permitiesen ni su lectura y escritura, lo que creo que no es posible porque incluso colocando FFFFFF en cuarto bloque podría leerse con cualquiera de las claves.
4. Tampoco valdría cambiar las claves por otras porque aunque no se podría leer arrojaría un error de autentificación y no el error 04.

En este punto agradecería cualquier idea o aportación.

Saludos.






L

Buenos días.

Como nadie dice nada, sigo yo.

Por lo que he podido averiguar se trata de una tarjeta Mifare 2K Plus que se encuentra en nivel de seguridad SL1.

Este tipo de tarjetas cuentan con 32 sectores (aunque sólo muestran 18) y tienen cifrado AES cuyas claves no se muestran en el mapa de memoria. Son tres claves de 16 bytes (CardConfigKey, CardMasterKey y L3SwitchKey).

En origen, estas tarjetas deben ser activadas y se encuentran en nivel de seguridad SL0. Es entonces cuando se puede escribir el bloque 0, introducir las claves AES y tener acceso a los 32 sectores.

Luego a la tarjeta se le envía un comando que la pasa a nivel de seguridad SL1 o SL3 y ya no se puede bajar el nivel de seguridad. En estos niveles la tarjeta se comporta como una Mifare Classic 1K salvo la circunstancia de que puede mostrar el sector 17 y evidenciar la existencia del sector 16.

Las tarjetas nuevas que tengo vienen ya en nivel SL1 y no he encontrado ningún sitio donde las vendan vírgenes en nivel SL0. Si alguien lo conoce y quiere decírmelo haré muchas más pruebas.

Un saludo.