用Proxmark3进行无卡嗅探

本文内容仅限于研究讨论技术，严禁用于非法破解

一、背景

一般情况下，nested攻击可以获取大部分普通Mifare卡的密码，对于部分设计更加安全的卡片，使用hardnested攻击甚至带云计算的hardnested攻击也能获得密码
而在卡片本身难以被破解的情况下，破解读卡器也是一个处理方案。PM3可以嗅探卡片与读卡器之间的通讯过程，并通过相关信息直接计算出密码
然而当手上连目标卡片都没有的时候，就需要用到无卡嗅探了
网上的教程大部分是使用Chameleon来进行无卡嗅探，其实PM3自己也有无卡嗅探功能

二、关于PM3的无卡嗅探

PM3中的无卡嗅探功能并不在"hf mf sniff"当中，而是在"hf mf sim"(模拟卡)当中
以下是参数列表

从中可以看到，x选项将对读卡器进行破解，通过模拟成Mifare卡并生成特定的nonces来套取读卡器用于验证的密码。这就是通常所说的无卡嗅探

三、两种适用情况

1.读卡器使用固定密码读取某一扇区

直接使用"hf mf sim i x"即可使PM3进入嗅探模式。当PM3采集了足够的数据之后即可自动计算出密码

2.读卡器通过UID实现一卡一密

使用"hf mf sim u xxxxxxxx i x"(xxxxxxxx此次使用的UID)来获得某一UID下的读卡密码。这样就可以进行选择明文攻击，对于破解一些简单的一卡一密算法还是很有帮助的

2020.05.06