小米手环3NFC版模拟加密门卡

 

作为一位资深的数码迷，已经玩不起各种数码产品了，听说小米手环3NFC可以模拟门禁卡，没忍住又买了一个。恰巧小区大门和单元门都是水滴门禁卡，试想佩戴手环刷入小区和单元，逼格瞬间提升且引来各种目光，想想都觉得开心，闲话少叙进入正题。

 

一、门禁情况分析

 

笔者所在小区大门门禁和单元门禁都是水滴卡（IC卡），13.56MHZ，满足小米NFC模拟门禁的要求，恰巧单元门是非加密，小区门是加密门禁。

 

二、非加密门禁模拟

 

非加密门禁的模拟再简单不过了，新手自己试试吧，笔者列个标题就是为了整出个一二三来，哈哈。

 

三、加密门禁模拟

 

加密门禁有些人说不能模拟，其实人家说的对呢，就是不能模拟，这些当然都是小菜鸟了。也有人说小米及其手环出了空白卡，建立空白卡后让物业把加密的数据写入就可以模拟了。只能说中国没有几家这么好的物业，去了物业基本一问三不知，没有什么可行性，求人不如求己。

 

（一）设备和软件

 

想要完成加密门禁的模拟需要一部分投入了，比如说笔者就买了小米手环3NFC版，为了降低成本某鱼买了个二手的，嘴笨一分钱也没有讲下来。另外一个关键设备就是买一个可以读写卡的设备，笔者选择了ACR122U-A10（以下简称ACR），双十一某宝买的，花了200银子，堵了半个月才收到，急死朕了。后来发现这个设备优点就是很多加密卡都能破解，连本人的饭卡也全部破解和模拟了（提醒大家不要放银行卡等重要卡片，因为不知软件有没有后门，如果有你的银行卡数据也就有可能被盗用，安全第一哦），缺点就是不能够对指定扇区进行写入，必须一次性写入所有扇区，是不是笔者还没研究明白，慢慢再看吧。再一个就是在手机（支持NFC）下载一个MifareClassicTool。以上准备好了就可以开工了。

 

（二）具体操作

 

先说一下加密门禁和非加密门禁的区别。通常我们使用的水滴门禁都有一个存储，存储着可以与读卡器比对的数据，存储都是有扇区的，通常我们的门禁有0-15个扇区，加密通常是对扇区进行的，估计深度加密也有可能对数据加密，这个笔者真是不晓得。

 

首先使用ACR读取并破解加密门禁，具体操作购买设备后都有相应教程和软件，这里不讨论这个问题。破解后会生成一个dump文件，使用ACR配套的“MIFARE卡0扇区修改工具锁匠2012版”导入dump文件，查看扇入数据，如图1所示：

 

 

图1：扇区数据

 

  仔细观察10扇区数据和其他扇区的数据是有所差别的，这个扇区就是加密扇区，你的门禁加密扇区不一定是这个，分别双击10扇区0-3块，将其加密数据复制出来，放在记事本里保存，然后改成和其他扇区一样的非加密数据，如图2所示：

 

图2：脱密数据

 

小米手环3NFC建立空白卡后放在ACR上，初始化后连接，然后写入脱密数据，也可以写在一张空白IC卡上，然后用小米3NFC进行模拟，因为脱密，所以肯定是可以模拟成功的。

 

下面要做的事情就是改扇区数据了，以下就要使用手机及mifare（MCT）了，如图3所示：

 

 
图3：MIFACE（MCT）

 

手环或者要修改扇区数据的IC卡贴住手机NFC区域，点击“读标签”，然后点击“启动映射并读取标签”，将读取的扇区数据进行保存，然后点击“编辑/分析转储文件”，打开方才存储的文件，然后对加密扇区进行数据修改，修改为以上复制到记事本的第10扇区的数据，最好一个块一个块的复制粘贴，如图4所示：

 

 

图4：修改后的扇区数据

 

修改后当然就是保存了，然后打开“写标签”，将手环贴近手机NFC区域，选择“写标签”的“写转储（克隆）”，然后点击“选择转储”，然后选择方才存储的加密文件，在“写扇区”中选择所有的扇区，然后点击“好的”，如图5所示。至此完成了加密门禁的模拟，下楼去大门口检验一下，小区大门应声打开，小心别被保安抓到哦。

 

 

图5：写扇区

 

结语

 

笔者的方法肯定不是最简单的，但是这种方法肯定是有效的，网上有说不写入0扇区，其他数据直接写入手环，这个方法我还没试过，因为笔者的设备现在还没有完全研究明白，笔者每天有一堆事要处理，纯属个人爱好，仅供参考和交流。郑重声明，切勿将本文应用到非法场景，如果出现违法违规，后果自负。

 

笔者下一步就是想手环是否可以模拟IC饭卡，现在来看手机支持我的IC饭卡，手环不支持，还没来及详细研究，忙完这一段再说吧！