플리퍼 제로 NFC 해킹 - 대포 음식
- Barbara Streisand원래의
- 2024-10-23 08:14:291055검색
이전 게시물에서 플리퍼 제로를 이용해 투명 리더기를 구현하는 방법을 살펴봤습니다. 동일한 개념을 사용하지만 이번에는 투명한 카드 에뮬레이터를 구현하면 어떨까요? 우리는 Flipper Zero를 대포처럼 사용하여 잘못된 요청을 보내 리더나 스마트폰과 같은 디지털 요새를 공격할 수 있습니다. 잘못된 명령, 수명 주기에서 예상되지 않는 명령, 퍼징, 버퍼 오버플로 등 한계가 없습니다!
1 - 컨텍스트
투명 카드 리더와 마찬가지로 내 컴퓨터의 직렬 CLI를 사용하여 Flipper와 통신하고 싶습니다. 컴퓨터는 모든 논리를 처리합니다. 즉, 예를 들어 Python 스크립트를 사용하여 명령에 따라 제공할 응답을 결정합니다.
이제 카드 에뮬레이터 명령의 구현과 관련하여 리더기에 비해 본질적으로 일종의 미러 모드입니다.
- 단말기에서 RF 필드가 활성화되는 시기를 감지해야 합니다.
- 단말기가 RF 필드를 비활성화하는 시점을 감지해야 합니다.
- 터미널로 비트를 수신/전송할 수 있어야 합니다.
- 터미널로 바이트를 주고받을 수 있어야 합니다.
상황을 복잡하게 만드는 작은 세부 사항이 있다는 점만 빼면요. 카드/리더 통신 중에는 리더 역할을 하는 것이 리더라는 점, 즉 통신을 시작하고 명령을 보내는 리더라는 점을 기억하세요.
따라서 카드 에뮬레이터를 만드는 경우 리더의 이벤트를 기다려야 합니다. 독자가 클라이언트 역할을 하는 서버처럼 생각할 수 있습니다. 이것을 Flipper Zero에 코딩해야 합니다.
그렇습니다. 먼저 ISO 14443-A를 사용하여 리더와 카드 간의 통신 교환을 간단히 요약해 보겠습니다.
2 - ISO 14443-A를 사용한 리더와 카드 간의 통신 교환
다음은 ISO 14443-A를 통해 통신하는 리더와 카드 간의 주요 교환을 요약한 다이어그램입니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
이제 질문은 "Flipper에서 이 모든 것을 어떻게 구현합니까?"입니다.
4 - 플리퍼 제로 구현
이전 기사와 마찬가지로 계속해서 application/main/nfc/nfc_cli.c 파일을 확장하겠습니다(내 지점의 파일 참조).
먼저 빠른 하드웨어 포인트입니다. NFC 관리를 위해 Flipper Zero는 ST25R3916 칩을 사용합니다. 이는 비접촉 리더와 카드 에뮬레이터를 모두 만들 수 있다는 점에서 매우 좋습니다. 칩은 현장 활성화부터 충돌 방지까지 관련된 명령 전송을 자동으로 처리합니다. 우리가 해야 할 일은 ATQA, SAK, UID 및 다시 보내려는 길이를 지정하는 것뿐입니다.
Flipper는 이 모든 것을 처리하기 위해 furi_hal_nfc_iso14443a_listener_set_col_res_data 함수를 제공합니다.
이러한 요소를 구성하기 위해 Flipper의 NFC CLI에 3가지 명령을 추가했습니다.
- 세트_아트카
- 세트삭
- set_uid
그리고 에뮬레이션을 시작하기 직전에 이러한 매개변수를 사용하여 furi_hal_nfc_iso14443a_listener_set_col_res_data를 호출합니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
다음으로, furi_hal_nfc_set_mode 함수를 사용하여 Flipper Zero를 카드 에뮬레이터 모드로 설정합니다. 이번에는 FuriHalNfcModeListener 모드를 지정하고 기술의 경우 표준 값 FuriHalNfcTechIso14443a, FuriHalNfcTechIso14443b 및 FuriHalNfcTechIso15693을 사용합니다.
마지막으로 에뮬레이션을 시작하기 위해 근처 리더를 기다리는 무한 루프를 시작하는 run_emu 명령을 구현했습니다. 이벤트 모니터링은 furi_hal_nfc_listener_wait_event 함수에 의해 처리됩니다.
if(g_NfcTech == FuriHalNfcTechIso14443a) {
furi_hal_nfc_iso14443a_listener_set_col_res_data(g_uid, g_uid_len, g_atqa, g_sak);
fdt = ISO14443_3A_FDT_LISTEN_FC;
}
다음으로 이벤트는 감지된 내용에 따라 여러 값을 가질 수 있습니다.
- FuriHalNfcEventFieldOn은 필드 활성화가 감지되었음을 나타냅니다.
- FuriHalNfcEventFieldOff는 필드가 꺼졌음을 나타냅니다.
- 가장 중요한 이벤트는 FuriHalNfcEventRxEnd로, 단말기로부터 명령이 수신되었음을 나타냅니다. 이 시점에서 우리는 응답을 보내야 합니다. 다시 말하지만, 충돌 방지를 포함하여 명령 전송의 모든 처리가 자동으로 수행된다는 점에 유의하는 것이 중요합니다. 따라서 기본적으로 select와 같은 명령 처리를 시작할 수 있습니다.
FuriHalNfcEvent event = furi_hal_nfc_listener_wait_event(100);
5 - 명령 수신 처리 및 응답 보내기
이제 명령 수신 및 응답 전송을 어떻게 처리하는지 살펴보겠습니다.
while(true) {
FuriHalNfcEvent event = furi_hal_nfc_listener_wait_event(100);
if(event == FuriHalNfcEventTimeout) {
if(cli_cmd_interrupt_received(cli)) {
break;
}
}
if(event & FuriHalNfcEventAbortRequest) {
break;
}
if(event & FuriHalNfcEventFieldOn) {
printf("on\r\n");
}
if(event & FuriHalNfcEventFieldOff) {
furi_hal_nfc_listener_idle();
printf("off\r\n");
}
if(event & FuriHalNfcEventListenerActive) {
// Nothing
}
if(event & FuriHalNfcEventRxEnd) {
- 데이터 수신은 furi_hal_nfc_listener_rx(rx_data, rx_data_size, &rx_bits);를 통해 처리됩니다. 우리는 Flipper에 연결된 터미널에 응답을 보내는 printf를 사용하여 수신된 데이터를 표시합니다. 이해해야 할 중요한 점은 명령을 받자마자 매우 빠르게 응답해야 한다는 것입니다. 이는 우리가 셸에 응답을 수동으로 작성할 수 없다는 것을 의미합니다. 너무 늦을 것입니다. 그렇기 때문에 Flipper와 통신하는 유일한 방법은 수신된 각 명령에 대해 어떤 응답을 제공할지 지정하는 디스패처와 함께 Python 스크립트를 사용하는 것입니다.
-
그런 다음 터미널은 nfc_emu_get_resp(cli, rx_cmd) 함수를 사용하여 검색한 응답을 보냅니다. 이 부분은 쉘 명령에서 일반적으로 앞뒤 교환이 없기 때문에 약간 까다롭습니다. 그래서 문자를 읽을 때는 cli_getc(cli) 함수를 사용합니다.
- 가끔 원치 않는 문자 0xA가 표시되는 경우가 있습니다. 처음 받은 문자라면 한 글자씩 읽어가기 때문에 생략합니다.
- 첫 번째 문자는 Flipper Zero가 CRC를 계산하여 명령 자체에 추가해야 하는지 여부를 나타냅니다(0x31은 예, 그렇지 않으면 아니오를 의미함).
- 그런 다음 16진수 문자열 형식으로 응답의 문자를 읽습니다. 0xA 문자를 받으면 수신이 완료되었음을 나타냅니다.
마지막으로 unhexify(tmp, (uint8_t*)bit_buffer_get_data(rx_data), len);을 사용하여 16진수 문자열을 uint8_t 배열로 변환합니다.
필요한 경우 add_crc를 사용하여 CRC를 추가합니다.
마지막으로 다음을 사용하여 독자에게 응답을 보낼 수 있습니다.
FuriHalNfcError r = furi_hal_nfc_listener_tx(rx_data, bit_buffer_get_size(rx_cmd));.
이제 이 모든 것을 검증하려면 어떻게 해야 할까요?
6 - 카드 에뮬레이션 검증
6.1 - 어떻게 시작되었나요? (Hydra NFC v2)
음, 이전 게시물의 투명 리더를 사용하여 에뮬레이터를 검증할 수 있습니다. 그러니까, 플리퍼 제로가 두 개 필요할 텐데... 나에겐 없는데. 하지만 투명한 리더 설정이 가능한 Hydra NFC v2가 있습니다.
pynfc의 스크립트를 사용해야 합니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
모든 것을 검증하기 위해 명령을 하나씩 보낼 수 있기 때문에 매우 실용적입니다.
- REQA 보내기
- 충돌방지
- 선택
- PPS
- TPDU 보내기
6.2 - 어떻게 완료되었나요?(PC/SC 리더)
그러나 실제로 의사소통은 좀 더 복잡합니다. 그래서 PC/SC 리더인 ACR122U를 사용하여 전체 APDU 명령을 전송/수신하고 Python 스크립트(pyscard 사용)와 함께 실제 테스트를 수행했습니다.
저의 경우에는 그냥 PPSE 애플리케이션을 선택합니다.
if(g_NfcTech == FuriHalNfcTechIso14443a) {
furi_hal_nfc_iso14443a_listener_set_col_res_data(g_uid, g_uid_len, g_atqa, g_sak);
fdt = ISO14443_3A_FDT_LISTEN_FC;
}
이제 카드 에뮬레이터는 더 많은 이벤트를 처리해야 합니다. 따라서 이 사례를 관리하기 위해 아래 Python 스크립트를 만들었습니다. 다양한 유형의 TPDU(i-block, r-block, s-block) 등 설명할 것이 많지만 자세한 내용은 향후 블로그 게시물에서 다루겠습니다.
FuriHalNfcEvent event = furi_hal_nfc_listener_wait_event(100);
이를 통해 매우 잘 작동하고 에뮬레이션이 매우 안정적입니다. 플리퍼를 리더에 배치하거나 제거하고 명령을 여러 번 보낼 수 있으며 매번 작동합니다. 다시 한 번, Flipper는 NFC 레이어를 훌륭하게 구현했으며 API를 사용하면 구현 시 최소한의 노력으로 많은 기능을 사용할 수 있습니다.
아래에는 Python 스크립트의 출력 샘플이 있습니다.
+----------------+ +----------------+
| Reader | | Card |
+----------------+ +----------------+
| |
Field activation |
| |
| --- REQA (Request Command Type A) -------------> |
| 26 |
| |
| <------------ ATQA (Answer to Request Type A) ---|
| 04 00
| |
| --- ANTICOLLISION Command ---------------------->|
| |
| <------------ UID (Unique Identifier) -----------|
| |
| --- SELECT [UID] Command ----------------------->|
| |
| <------------ SAK (Select Acknowledge) ----------|
| |
| --- RATS (Request for Answer To Select) -------->|
| E0 50 BC A5 |
| |
| <------------ ATS (Answer To Select) ------------|
| 0A 78 80 82 02 20 63 CB A3 A0 92 43 |
| |
| ---- [Opt] PPS (Proto and Parameter Selection) ->|
| D0 73 87 |
| |
| <------------ [PPS Response] --------------------|
| D0 73 87 |
| |
| --- TPDU [Encapsulated APDU Command] ----------->|
| 0200A404000E325041592E5359532E444446303100E042 |
| |
| <------------ TPDU [Encapsulated APDU Response] -|
| 00a404000e325041592e5359532e444446303100 |
6.3 Proxmark도 약간
스니핑 모드에서 통신을 디버깅할 때 Proxmark 3를 사용하는 것이 유용했습니다. 리더와 카드(정품 카드 또는 Flipper일 수 있음) 사이에 놓고 데이터 교환을 확인할 수 있었습니다.
if(g_NfcTech == FuriHalNfcTechIso14443a) {
furi_hal_nfc_iso14443a_listener_set_col_res_data(g_uid, g_uid_len, g_atqa, g_sak);
fdt = ISO14443_3A_FDT_LISTEN_FC;
}
다음은 무엇입니까?
좋아, 다음은 뭐지?
- 먼저 카드 에뮬레이션 Python 스크립트에 대해 더 자세히 설명할 수 있습니다.
- 또한 현재 이벤트 대기 루프가 끝나지 않기 때문에 버튼을 눌렀을 때 카드 에뮬레이션을 중지하는 방법을 구현해야 합니다. 종료하는 유일한 방법은 Flipper를 다시 시작하는 것입니다.
- 또한 투명 판독기와 카드 에뮬레이터를 동시에 사용하여 중간자 공격을 수행하고 통신을 실시간으로 수정하는 등 재미있는 작업을 수행할 수도 있습니다!
위 내용은 플리퍼 제로 NFC 해킹 - 대포 음식의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!