¿De qué longitud son las claves? ¿Sería posible un ataque por fuerza bruta?

Pensándolo un poco, en caso de éxito tampoco te habrás gastado tanto dinero. El sniffer y el lector/escritor vale en totan poco mas de 500 €. Una tarjeta mensual de autobús en málaga son 30 €, por 12 meses que tiene el año 360 €. Si no cambian el sistema en un par de años, te habrás ahorrado 160 € más o menos. Y si además repartes tarjetas en tu familia, el ahorro anual es algo considerable.

No recomiendo intentar haceros el sniffer vosotros mismos si no tenéis bastante experiencia con los circuitos. Los circuitos de radio son jodidos, si no se hacen bajo ciertas condiciones tienden a fallar desastrosamente.

El intentar hacer el circuito por tí mismo será un completo fracaso en la mayoría de los casos, a no ser que estés bastante experimentado en electrónica. Los circuitos de radio son tremendamente sensibles.

En cuanto a clonar las 14443a, os diré que un lector/escritor de tarjetas de nada servirá si no tenéis un RFID logger para esa frecuencia. ¿Habéis leído acaso como es el protocolo RFID? Para piratear antes hay que saber algunas cosas mínimas.

A grandes rasgos, cuando acercas la tarjeta al punto rojo ese del bus, este le manda una clave, y gracias a esa clave se puede leer una zona de la memoria de la tarjeta, que de otra forma, si no poseéis un laboratorio de microelectrónica dudo que lo leáis. Entonces, una vez se ha leido esa zona, se os verifica como clientes válidos, y el sistema pasa a descontar X crédito de la tarjeta, también en la zona protegida.

Tendrias que coger un logger RFID y grabar esa conversación, así sabrías la clave secreta de la estación, y podrías emular una en tu PC con tu lector/escritor RFID baratucho, para modificar a gusto esas secciones.

Ahora lo interesante: ¿dónde consigo un RFID logger? No lo se. Puede que te lo tengan que fabricar algún electrónico. ¿Cuando cuesta este aparato? Desde luego, no menos de 500 €, así que chavales, a ahorrar un poco.

Hoy voy a explicar como aprovechar las cavernas de código (codecaves) para añadir funciones a archivos ejecutables. En principio, en un EXE, al no ser el PE (Portable Executable) un formato muy eficiente, se deja zonas "en blanco". Con un poco de práctica podemos rellenar esas zonas, poner un salto (JMP) hasta allí y ejecutar nuestro código.

En este ejemplo voy a explicar como hacerlo manualmente para comprenderlo bien, pero se podría escribir un programa que facilitara la tarea. Vamos a hacer saltar un mensaje nada más abrir el bloc de notas, pero también podríamos añadir un programaque se baje algo de internet, un shellcode o un exploit que nos de root.

Bien, primero localiza el NOTEPAD.EXE en el directorio de Windows y haz una copia. Abre el OllyDbg y ejecútalo. Primero, vamos a buscar una zona "virgen" de código dentro, para poder excavar un poco e inyectar el nuestro. Lo que haremos será primero escribir los argumentos de la API MessageBox (más información aquí http://msdn.microsoft.com/en-us/library/ms645505(VS.85).aspx), llamarla pasándole esos argumentos y hacer un salto al principio del programa para que ejecute dicha función.

Bien, una vez que hemos corrido el programa con el Olly muevete un poco hacia abajo hasta encontrar un lugar cuyo código sea similar a este:


Debe estar cerca del principio. Una vez hallado, marca sin miedo unas cuantas lineas con shift y el ratón y dale a editar (control+E). Escribe el texto en ASCII que quieras:



Dale a "OK" y verás en rojo lo modificado. En principio lo interpreta como código en ASM, por eso se ven comandos sin sentido. Actualizado haciendo Control+A y se verá así:



Para simplificar las cosas usaremos un solo texto para la ventana y para el texto, pero si quieres repite el proceso en otro lugar vacío para poner otra frase cualquiera.

Ahora que ya tenemos el argumento más importante de MessageBox podemos pasar a escribir la llamada a este. Recordemos como era:


En ASM, para pasar argumentos y hacer una llamda a una función tendría que ser así:


Esto pone la ventana a nulo, y también el tipo de MessageBox para que solo tenga un botón. ATENCION: los dos números en hexadecimal del centro es el offset (la dirección) del texto que escribimos anteriormente. En mi caso es 0x01008747, pero en el tuyo podría ser otro.

Ahora busca otro trozo en blanco, marca una linea y dale a la barra espaciadora para editarlo, y empieza a añadir el código:



El cursor se irá desplazando automáticamente, ve escribiendo todo hasta completarlo:



Una vez lo tenemos apunta la dirección de nuestro código. En este ejemplo es 0x01008757. ¡No lo olvides! Ahora vamos al origen del programa, para poder hacer que salte a nuestro trocito. Botón secundario, Go To -> Origin:



Esto nos dejará en la primera linea del programa. Si directamente podemos un JMP (salto incondicional) a nuestra dirección se comería código original y por lo tanto importante. Así que marcar una cuantas lineas del principio y copialas aparte, en otro bloc de notas por ejemplo:



Ve ahora a la primera linea (PUSH 70 en este caso) y dale a la barra espaciadora. Escribe este código:


cuyo número será el que apuntamos anteriormente. Ahora nos quedará algo así:



Apunta el offset de la siguiente linea, aquí es 0x010073A4. Como puedes ver si comparamos con el código original que hemos copiado en el bloc de notas antes, nuestra edición se ha comido parte del programa original, así que hay que reimplantarlo. Vamos a nuestro código, haz Control+G y pon ahí la dirección a donde hacemos el salto (01008757).

Debajo del CALL MessageBoxA, ensambla de nuevo (tecla espacio) y añade el código que te comiste, así como un salto a la siguiente dirección. Quería así:




Y nuestro codecave quedaría listo. Para terminar, haz clic en el botón secundario, "Copy to executable" -> "All modifications", pulsa el botón para guardar todas las modificaciones y cierra la ventana. Al hacer esto te pedriá una última confirmación, así que presiona "Sí" y "Aceptar" para terminar. Con esto nuestro programa modificado quedaría listo. Ve a donde lo tenías ejecutalo y verás el resultado.

¡Suerte!


Originalmente publicado en http://www.descifra.me/viewtopic.php?f=11&t=15

Buenas, les dejo este tutorial que me encontré por ahí:

http://www.descifra.me/viewtopic.php?f=11&t=11

Es un manual básico para aquellos que empiezan con Olly. Espero que les sirva.

Hace alguños años, entre el 98 y el 2000, surgieron gran cantidad de webs diciendo como clonar o emular con diferentes circuitos las tarjetas para llamar por cabina telefónica en varios paises. Muchos esquemas y programas, pero pocos daban datos reales de funcionamiento.

Me surgió la duda de si esto se podría hacer hoy en día, que tenemos lectores USB de tarjetas que soporta cien protocolos por no más de 20 euros. El problema vino cuando intenté buscar información en internet: toda la información está terriblemente desactualizada.

Mi reto se centra en las tarjetas prepado de cabina de telefónica de España, que tienen un valor de 6 o 12 €. ¿Tiene alguien información sobre estos chips? ¿Son memorias EEPROM o son microcontroladores?

Sospecho que siguen la ISO 7861, tal vez usan el chip SLE 4442. ¿Alguien me lo podría confirmar? ¿Existe alguna web o foro donde se traten estos temas en profundidad?

Se trata de una protección armadillo, y no esta disponible el serial por ahi porque se necesita una "fingerprint" que te da el hardware de tu pc... necesitarias un desenpaquetador de armadillo para poder crackear eso.

Ya encontre lo que queria en VB. Si a alguien le interesa:

http://www.pscode.com/vb/scripts/ShowCode.asp?txtCodeId=67862&lngWId=1&txtForceRefresh=7720073464892198