플리퍼 제로 NFC 해킹 - 대포 음식
이전 게시물에서 플리퍼 제로를 이용해 투명 리더기를 구현하는 방법을 살펴봤습니다. 동일한 개념을 사용하지만 이번에는 투명한 카드 에뮬레이터를 구현하면 어떨까요? 우리는 Flipper Zero를 대포처럼 사용하여 잘못된 요청을 보내 리더나 스마트폰과 같은 디지털 요새를 공격할 수 있습니다. 잘못된 명령, 수명 주기에서 예상되지 않는 명령, 퍼징, 버퍼 오버플로 등 한계가 없습니다!
1 - 컨텍스트
투명 카드 리더와 마찬가지로 내 컴퓨터의 직렬 CLI를 사용하여 Flipper와 통신하고 싶습니다. 컴퓨터는 모든 논리를 처리합니다. 즉, 예를 들어 Python 스크립트를 사용하여 명령에 따라 제공할 응답을 결정합니다.
이제 카드 에뮬레이터 명령의 구현과 관련하여 리더기에 비해 본질적으로 일종의 미러 모드입니다.
- 단말기에서 RF 필드가 활성화되는 시기를 감지해야 합니다.
- 단말기가 RF 필드를 비활성화하는 시점을 감지해야 합니다.
- 터미널로 비트를 수신/전송할 수 있어야 합니다.
- 터미널로 바이트를 주고받을 수 있어야 합니다.
상황을 복잡하게 만드는 작은 세부 사항이 있다는 점만 빼면요. 카드/리더 통신 중에는 리더 역할을 하는 것이 리더라는 점, 즉 통신을 시작하고 명령을 보내는 리더라는 점을 기억하세요.
따라서 카드 에뮬레이터를 만드는 경우 리더의 이벤트를 기다려야 합니다. 독자가 클라이언트 역할을 하는 서버처럼 생각할 수 있습니다. 이것을 Flipper Zero에 코딩해야 합니다.
그렇습니다. 먼저 ISO 14443-A를 사용하여 리더와 카드 간의 통신 교환을 간단히 요약해 보겠습니다.
2 - ISO 14443-A를 사용한 리더와 카드 간의 통신 교환
다음은 ISO 14443-A를 통해 통신하는 리더와 카드 간의 주요 교환을 요약한 다이어그램입니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
이제 질문은 "Flipper에서 이 모든 것을 어떻게 구현합니까?"입니다.
4 - 플리퍼 제로 구현
이전 기사와 마찬가지로 계속해서 application/main/nfc/nfc_cli.c 파일을 확장하겠습니다(내 지점의 파일 참조).
먼저 빠른 하드웨어 포인트입니다. NFC 관리를 위해 Flipper Zero는 ST25R3916 칩을 사용합니다. 이는 비접촉 리더와 카드 에뮬레이터를 모두 만들 수 있다는 점에서 매우 좋습니다. 칩은 현장 활성화부터 충돌 방지까지 관련된 명령 전송을 자동으로 처리합니다. 우리가 해야 할 일은 ATQA, SAK, UID 및 다시 보내려는 길이를 지정하는 것뿐입니다.
Flipper는 이 모든 것을 처리하기 위해 furi_hal_nfc_iso14443a_listener_set_col_res_data 함수를 제공합니다.
이러한 요소를 구성하기 위해 Flipper의 NFC CLI에 3가지 명령을 추가했습니다.
- 세트_아트카
- 세트삭
- set_uid
그리고 에뮬레이션을 시작하기 직전에 이러한 매개변수를 사용하여 furi_hal_nfc_iso14443a_listener_set_col_res_data를 호출합니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
다음으로, furi_hal_nfc_set_mode 함수를 사용하여 Flipper Zero를 카드 에뮬레이터 모드로 설정합니다. 이번에는 FuriHalNfcModeListener 모드를 지정하고 기술의 경우 표준 값 FuriHalNfcTechIso14443a, FuriHalNfcTechIso14443b 및 FuriHalNfcTechIso15693을 사용합니다.
마지막으로 에뮬레이션을 시작하기 위해 근처 리더를 기다리는 무한 루프를 시작하는 run_emu 명령을 구현했습니다. 이벤트 모니터링은 furi_hal_nfc_listener_wait_event 함수에 의해 처리됩니다.
if(g_NfcTech == FuriHalNfcTechIso14443a) {
furi_hal_nfc_iso14443a_listener_set_col_res_data(g_uid, g_uid_len, g_atqa, g_sak);
fdt = ISO14443_3A_FDT_LISTEN_FC;
}
다음으로 이벤트는 감지된 내용에 따라 여러 값을 가질 수 있습니다.
- FuriHalNfcEventFieldOn은 필드 활성화가 감지되었음을 나타냅니다.
- FuriHalNfcEventFieldOff는 필드가 꺼졌음을 나타냅니다.
- 가장 중요한 이벤트는 FuriHalNfcEventRxEnd로, 단말기로부터 명령이 수신되었음을 나타냅니다. 이 시점에서 우리는 응답을 보내야 합니다. 다시 말하지만, 충돌 방지를 포함하여 명령 전송의 모든 처리가 자동으로 수행된다는 점에 유의하는 것이 중요합니다. 따라서 기본적으로 select와 같은 명령 처리를 시작할 수 있습니다.
FuriHalNfcEvent event = furi_hal_nfc_listener_wait_event(100);
5 - 명령 수신 처리 및 응답 보내기
이제 명령 수신 및 응답 전송을 어떻게 처리하는지 살펴보겠습니다.
while(true) {
FuriHalNfcEvent event = furi_hal_nfc_listener_wait_event(100);
if(event == FuriHalNfcEventTimeout) {
if(cli_cmd_interrupt_received(cli)) {
break;
}
}
if(event & FuriHalNfcEventAbortRequest) {
break;
}
if(event & FuriHalNfcEventFieldOn) {
printf("on\r\n");
}
if(event & FuriHalNfcEventFieldOff) {
furi_hal_nfc_listener_idle();
printf("off\r\n");
}
if(event & FuriHalNfcEventListenerActive) {
// Nothing
}
if(event & FuriHalNfcEventRxEnd) {
- 데이터 수신은 furi_hal_nfc_listener_rx(rx_data, rx_data_size, &rx_bits);를 통해 처리됩니다. 우리는 Flipper에 연결된 터미널에 응답을 보내는 printf를 사용하여 수신된 데이터를 표시합니다. 이해해야 할 중요한 점은 명령을 받자마자 매우 빠르게 응답해야 한다는 것입니다. 이는 우리가 셸에 응답을 수동으로 작성할 수 없다는 것을 의미합니다. 너무 늦을 것입니다. 그렇기 때문에 Flipper와 통신하는 유일한 방법은 수신된 각 명령에 대해 어떤 응답을 제공할지 지정하는 디스패처와 함께 Python 스크립트를 사용하는 것입니다.
-
그런 다음 터미널은 nfc_emu_get_resp(cli, rx_cmd) 함수를 사용하여 검색한 응답을 보냅니다. 이 부분은 쉘 명령에서 일반적으로 앞뒤 교환이 없기 때문에 약간 까다롭습니다. 그래서 문자를 읽을 때는 cli_getc(cli) 함수를 사용합니다.
- 가끔 원치 않는 문자 0xA가 표시되는 경우가 있습니다. 처음 받은 문자라면 한 글자씩 읽어가기 때문에 생략합니다.
- 첫 번째 문자는 Flipper Zero가 CRC를 계산하여 명령 자체에 추가해야 하는지 여부를 나타냅니다(0x31은 예, 그렇지 않으면 아니오를 의미함).
- 그런 다음 16진수 문자열 형식으로 응답의 문자를 읽습니다. 0xA 문자를 받으면 수신이 완료되었음을 나타냅니다.
마지막으로 unhexify(tmp, (uint8_t*)bit_buffer_get_data(rx_data), len);을 사용하여 16진수 문자열을 uint8_t 배열로 변환합니다.
필요한 경우 add_crc를 사용하여 CRC를 추가합니다.
마지막으로 다음을 사용하여 독자에게 응답을 보낼 수 있습니다.
FuriHalNfcError r = furi_hal_nfc_listener_tx(rx_data, bit_buffer_get_size(rx_cmd));.
이제 이 모든 것을 검증하려면 어떻게 해야 할까요?
6 - 카드 에뮬레이션 검증
6.1 - 어떻게 시작되었나요? (Hydra NFC v2)
음, 이전 게시물의 투명 리더를 사용하여 에뮬레이터를 검증할 수 있습니다. 그러니까, 플리퍼 제로가 두 개 필요할 텐데... 나에겐 없는데. 하지만 투명한 리더 설정이 가능한 Hydra NFC v2가 있습니다.
pynfc의 스크립트를 사용해야 합니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
모든 것을 검증하기 위해 명령을 하나씩 보낼 수 있기 때문에 매우 실용적입니다.
- REQA 보내기
- 충돌방지
- 선택
- PPS
- TPDU 보내기
6.2 - 어떻게 완료되었나요?(PC/SC 리더)
그러나 실제로 의사소통은 좀 더 복잡합니다. 그래서 PC/SC 리더인 ACR122U를 사용하여 전체 APDU 명령을 전송/수신하고 Python 스크립트(pyscard 사용)와 함께 실제 테스트를 수행했습니다.
저의 경우에는 그냥 PPSE 애플리케이션을 선택합니다.
if(g_NfcTech == FuriHalNfcTechIso14443a) {
furi_hal_nfc_iso14443a_listener_set_col_res_data(g_uid, g_uid_len, g_atqa, g_sak);
fdt = ISO14443_3A_FDT_LISTEN_FC;
}
이제 카드 에뮬레이터는 더 많은 이벤트를 처리해야 합니다. 따라서 이 사례를 관리하기 위해 아래 Python 스크립트를 만들었습니다. 다양한 유형의 TPDU(i-block, r-block, s-block) 등 설명할 것이 많지만 자세한 내용은 향후 블로그 게시물에서 다루겠습니다.
FuriHalNfcEvent event = furi_hal_nfc_listener_wait_event(100);
이를 통해 매우 잘 작동하고 에뮬레이션이 매우 안정적입니다. 플리퍼를 리더에 배치하거나 제거하고 명령을 여러 번 보낼 수 있으며 매번 작동합니다. 다시 한 번, Flipper는 NFC 레이어를 훌륭하게 구현했으며 API를 사용하면 구현 시 최소한의 노력으로 많은 기능을 사용할 수 있습니다.
아래에는 Python 스크립트의 출력 샘플이 있습니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
6.3 Proxmark도 약간
스니핑 모드에서 통신을 디버깅할 때 Proxmark 3를 사용하는 것이 유용했습니다. 리더와 카드(정품 카드 또는 Flipper일 수 있음) 사이에 놓고 데이터 교환을 확인할 수 있었습니다.
if(g_NfcTech == FuriHalNfcTechIso14443a) {
furi_hal_nfc_iso14443a_listener_set_col_res_data(g_uid, g_uid_len, g_atqa, g_sak);
fdt = ISO14443_3A_FDT_LISTEN_FC;
}
다음은 무엇입니까?
좋아, 다음은 뭐지?
- 먼저 카드 에뮬레이션 Python 스크립트에 대해 더 자세히 설명할 수 있습니다.
- 또한 현재 이벤트 대기 루프가 끝나지 않기 때문에 버튼을 눌렀을 때 카드 에뮬레이션을 중지하는 방법을 구현해야 합니다. 종료하는 유일한 방법은 Flipper를 다시 시작하는 것입니다.
- 또한 투명 판독기와 카드 에뮬레이터를 동시에 사용하여 중간자 공격을 수행하고 통신을 실시간으로 수정하는 등 재미있는 작업을 수행할 수도 있습니다!
위 내용은 플리퍼 제로 NFC 해킹 - 대포 음식의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
Python vs. C : 학습 곡선 및 사용 편의성
Apr 19, 2025 am 12:20 AM
Python은 배우고 사용하기 쉽고 C는 더 강력하지만 복잡합니다. 1. Python Syntax는 간결하며 초보자에게 적합합니다. 동적 타이핑 및 자동 메모리 관리를 사용하면 사용하기 쉽지만 런타임 오류가 발생할 수 있습니다. 2.C는 고성능 응용 프로그램에 적합한 저수준 제어 및 고급 기능을 제공하지만 학습 임계 값이 높고 수동 메모리 및 유형 안전 관리가 필요합니다.
파이썬과 시간 : 공부 시간을 최대한 활용
Apr 14, 2025 am 12:02 AM
제한된 시간에 Python 학습 효율을 극대화하려면 Python의 DateTime, Time 및 Schedule 모듈을 사용할 수 있습니다. 1. DateTime 모듈은 학습 시간을 기록하고 계획하는 데 사용됩니다. 2. 시간 모듈은 학습과 휴식 시간을 설정하는 데 도움이됩니다. 3. 일정 모듈은 주간 학습 작업을 자동으로 배열합니다.
Python vs. C : 성능과 효율성 탐색
Apr 18, 2025 am 12:20 AM
Python은 개발 효율에서 C보다 낫지 만 C는 실행 성능이 높습니다. 1. Python의 간결한 구문 및 풍부한 라이브러리는 개발 효율성을 향상시킵니다. 2.C의 컴파일 유형 특성 및 하드웨어 제어는 실행 성능을 향상시킵니다. 선택할 때는 프로젝트 요구에 따라 개발 속도 및 실행 효율성을 평가해야합니다.
Python 학습 : 2 시간의 일일 연구가 충분합니까?
Apr 18, 2025 am 12:22 AM
하루에 2 시간 동안 파이썬을 배우는 것으로 충분합니까? 목표와 학습 방법에 따라 다릅니다. 1) 명확한 학습 계획을 개발, 2) 적절한 학습 자원 및 방법을 선택하고 3) 실습 연습 및 검토 및 통합 연습 및 검토 및 통합,이 기간 동안 Python의 기본 지식과 고급 기능을 점차적으로 마스터 할 수 있습니다.
Python vs. C : 주요 차이점 이해
Apr 21, 2025 am 12:18 AM
Python과 C는 각각 고유 한 장점이 있으며 선택은 프로젝트 요구 사항을 기반으로해야합니다. 1) Python은 간결한 구문 및 동적 타이핑으로 인해 빠른 개발 및 데이터 처리에 적합합니다. 2) C는 정적 타이핑 및 수동 메모리 관리로 인해 고성능 및 시스템 프로그래밍에 적합합니다.
Python Standard Library의 일부는 무엇입니까? 목록 또는 배열은 무엇입니까?
Apr 27, 2025 am 12:03 AM
Pythonlistsarepartoftsandardlardlibrary, whileraysarenot.listsarebuilt-in, 다재다능하고, 수집 할 수있는 반면, arraysarreprovidedByTearRaymoduledlesscommonlyusedDuetolimitedFunctionality.
파이썬 : 자동화, 스크립팅 및 작업 관리
Apr 16, 2025 am 12:14 AM
파이썬은 자동화, 스크립팅 및 작업 관리가 탁월합니다. 1) 자동화 : 파일 백업은 OS 및 Shutil과 같은 표준 라이브러리를 통해 실현됩니다. 2) 스크립트 쓰기 : PSUTIL 라이브러리를 사용하여 시스템 리소스를 모니터링합니다. 3) 작업 관리 : 일정 라이브러리를 사용하여 작업을 예약하십시오. Python의 사용 편의성과 풍부한 라이브러리 지원으로 인해 이러한 영역에서 선호하는 도구가됩니다.
웹 개발을위한 파이썬 : 주요 응용 프로그램
Apr 18, 2025 am 12:20 AM
웹 개발에서 Python의 주요 응용 프로그램에는 Django 및 Flask 프레임 워크 사용, API 개발, 데이터 분석 및 시각화, 머신 러닝 및 AI 및 성능 최적화가 포함됩니다. 1. Django 및 Flask 프레임 워크 : Django는 복잡한 응용 분야의 빠른 개발에 적합하며 플라스크는 소형 또는 고도로 맞춤형 프로젝트에 적합합니다. 2. API 개발 : Flask 또는 DjangorestFramework를 사용하여 RESTFULAPI를 구축하십시오. 3. 데이터 분석 및 시각화 : Python을 사용하여 데이터를 처리하고 웹 인터페이스를 통해 표시합니다. 4. 머신 러닝 및 AI : 파이썬은 지능형 웹 애플리케이션을 구축하는 데 사용됩니다. 5. 성능 최적화 : 비동기 프로그래밍, 캐싱 및 코드를 통해 최적화
