CUID加密變非加密卡

1. 門禁卡電梯卡寫入NFC設備（手機、手環等）

目前，許多便攜設備都具有全功能NFC，如手機、手環、手錶。NFC具體門禁卡功能，如果能把所需的門禁卡、電梯卡模擬到這些便攜設備中，會大大方便我們的生活，但該功能僅支持特定的非加密卡的模擬。而現實中，大多數門禁卡、電梯卡都是加密卡，直接模擬並不能成功。這就需要先對加密卡進行解密處理，數據修改，先模擬僅含卡號的解密卡，然後再寫入加密內容，從而達到模擬加密卡的目的。

說明:

需要的設備:

1.PN532開發板及相關軟體，東西很便宜，好像30+元，軟體找店家要就行。

2.CUID卡，這種可以反復擦寫，和PN532一起買就可以了。

正文開始（以小米手環6NFC版為例）:

一、破解門禁卡

1. 電腦接入pn532開發板(注意usb供電)。

2. 將待破解的門禁卡放到pn532開發板上,打開工具」上位機」:先點擊」 發現NFC設備」,再點」 讀整卡」。耐心等待讀取完成（如長時間無法讀取，可反復插拔設備或變換卡片位置或更換卡片）。

3. 讀取成功，即破解完成，點擊窗口區左上角三角符號，保存讀取的文件（.mp格式，稱之為文件A）。

二、解密加密文件

4. 打開工具「DumpTxt互轉」，將文件A拖入該工具，彈出信息，點擊確定，將由文件A轉換的文件（.txt格式，稱之為文件a）保存。

5. 修改文件a：用文本編輯器打開文件a，除每個扇區的最後一行和0扇區第一行外，全部修改為00；每個扇區的最後一行包含KEY A、KEY B和中間3個位的「07 80 69」全部修改為FF；0扇區的第一行保留不作修改（該行為卡號和廠商信息，廠商信息在最終寫入時會不被寫入，但不影響使用）。另存修改後的文件（.txt文件，稱之為文件b）。

6. 將文件b拖入工具「DumpTxt互轉」， 彈出信息，點擊確定，將由文件b轉換的文件（.mp格式，稱之為文件B）保存。

三、模擬解密文件

7. 拿一張cuid卡（可反復擦寫），放到pn532開發板上，先點擊」 發現NFC設備」,再點」 讀整卡」，然後點「寫整卡」，等待寫入完成。

8. 打開手機上的小米運動app，找到小米手環6NFC，點模擬門卡，選模擬實體卡，將cuid卡緊貼小米手環6NFC，按小米運動app上提示的步驟操作完成。此步驟是將帶有卡頭的非加密卡模擬進小米手環6NFC。

四、寫入加密文件

9. 將小米手環6NFC放到pn532開發板上，先點擊」 發現NFC設備」,再點」 讀整卡」，最後點擊「寫整卡」，彈出打開窗口，選擇文件A，確定，寫入成功。至此門禁卡寫入小米手環6NFC成功。

2. 教你用手機模擬加密門禁卡-不用電腦

1、前言
  目前，IC卡已被廣泛應用於身份識別、金融消費、安全認證等領域。大多數人每天都要和各種各樣的卡片打交道，上班有考勤卡，吃飯有飯卡，健身有會員卡，停車有停車卡，連回個家都得先把門卡翻出來，各種各樣的卡，方便我們生活的同時也為我們的生活帶來一點點不便。其實NFC手機不僅可以模擬公交卡和銀行卡，還能瞬間秒變以上各種卡，只要一部手機即可實現刷卡自由。你，是時候get真正的技能啦！！！
2、支持的手機
  想要實現手機秒變各種卡，首先你得有個帶NFC功能的安卓手機，目前大部分安卓手機都有這個功能。
3、支持的門禁卡
  普通門禁卡分加密和未加密兩種，如果你的卡未加密，那麼恭喜你，你可以用手機直接模擬。如果你的卡加密了，那麼就稍微麻煩一點，需要先破解門禁卡拿到密碼，有了密碼後才能用手機模擬。接下來我會一步一步教你怎樣用手機模擬加密門禁卡。

軟硬體准備

簡述流程

  首先，用NFC手機自帶的門卡模擬軟體去模擬自己的門禁卡，我的MIX2S門卡模擬軟體的入口在小米錢包App主頁，其他機型請自行尋找。模擬時，這里會有以下四種情況：

1、手機讀卡後正常進入下一步： 這說明你的卡是普通的未加密M1卡，恭喜你，你可以輕松用手機模擬該卡了，模擬成功後就可以刷卡開門了；

2、手機讀卡無反應： 這種情況說明你的門禁卡是ID卡，手機只支持模擬IC卡，如果你的門禁卡是ID卡，那就沒辦法用手機模擬了（記得多用手機讀幾次）；

3、手機提示該卡不支持模擬： 這種情況是因為你的門禁卡不是標準的M1卡，一般公交卡或者銀行卡或者帶儲值功能的卡會出現這種提示（記得多用手機讀幾次）；

4、手機提示卡片加密： 這種情況說明你的卡是加密M1卡，大多數門禁卡、電梯卡、會員卡都是這種情況，本文主要就是教你用手機模擬這種卡片。

0x01 NFC Reader Tool 破解母卡，得到mp文件

  完成上面基本檢測操作後，接下來在備用機上打開 NFC Reader Tool ，NFC Reader Tool 需要用微信登錄，備用機上未安裝微信的話，軟體會調用微信掃碼登錄。登錄後點擊連接設備，設備連接成功後把卡片靠近讀卡器，然後使用軟體的一鍵解密功能，下面就耐心等待軟體破解，一般幾分鍾到幾十分鍾就解完了。

  破解完成後就會得到mp文件，這時使用軟體的保存密鑰功能，把密鑰保存好，待會有用。

0x02 NFC Reader Tool 格式化母卡，得到非加密母卡

  很多教程在這步叫我們准備一張可以修改卡號的非加密特殊後門卡，然後把後門卡的卡號修改成母卡的卡號，然後用NFC手機模擬這張修改了卡號的非加密特殊後門卡。

  其實用不著這么麻煩，我們只需要用NFC Reader Tool 把母卡格式化，就可以得到一張非加密母卡，這時就可以進行下一步了。

0x03 NFC手機模擬非加密母卡
  這時候像最開始檢測門禁卡是否加密那個步驟那樣，用NFC手機里系統自帶的模擬軟體去模擬第二步中得到的非加密母卡，這時候手機不會再提示卡片加密，而是直接模擬成功並進入下一步，此時按提示操作模擬即可。

0x04 NFC Reader Tool 寫入mp文件到手機

  首先，我們在手機上把剛才模擬的非加密母卡設置成默認卡（一般在刷卡的時候會出現默認卡片選擇界面，設置默認卡片後手機刷卡時才能調用正確的卡片）。

  然後，把手機放在讀卡器上，打開NFC Reader Tool 的寫入功能，選擇前文中獲得的密鑰和mp文件，並開始寫入。用同樣的方法，可以把0x02中的非加密母卡也變回加密母卡。

  寫入成功後，大功告成！！！

0x05 手機模擬的卡片和原來的加密卡一模一樣，可以刷卡開門了

  滴，成功開門！！！

  沒什麼好總結的，照著步驟一步一步來，肯定會成功的。

  至於NFC Reader Tool 這個軟體，它支持各種卡片的讀寫以及破解，文中只涉及到最簡單最常用的一種情況，如果你在實際操作中遇到問題，記得在軟體設置界面加入QQ群，裡面有熱心的技術大牛解答你各種疑問。

3. 門禁卡加密怎麼用nfc

方法1：mifare經典工具讀原卡扇區0後，寫到cuid卡，再用一加模擬cuid卡（合適沒root，加密卡）

方法2:（合適root，加密卡）

方法1和方法2均為只模擬了卡號，該方法部分小區可以開門。（方法1和2使用默認付款應用是一加公交卡，方法3是公交卡）

方法3（針對方法1或者方法2無法開門）：（合適root和沒root，加密卡）

1、nfc觸碰付款-默認付款應用-選公交卡（是公交卡，而不是一加公交卡。看清楚文字區別，看清楚再選）。

2、回到卡券，刷卡狀態，用電腦或者手持讀寫器把數據寫入（或者用其他nfc手機寫入也可能可以，比如mifare經典工具）

3、電腦或者手持讀寫器幾十塊到幾百塊不等。（成功做了這步相當於模擬全卡）

怎麼獲取數據，問物業或者網路。

方法4：（合適root或者沒root，加密卡，有或者沒nfc的手機）

不想麻煩的，就網上買個手機貼（一般四種：id、ic、uid、cuid，6塊錢左右，6塊的帶了防磁的了，可以避免手機電磁干擾），拿到物業那開卡（或者買了後帶到街上配，幾塊錢人工費。因為街上不一定有手機貼直接配，那你就買了帶過去配），貼到手機（相對1到3方法，哪個麻煩自己衡量，合適折騰的人。）

4. 華為手環此卡為加密卡

華為手機在復制加密NFC卡時，會提示：
「此卡為加密卡，暫不支持模擬」
表示此即為 加密的NFC卡
方法一： 重試添加門禁卡，如界面出現 「此卡為加密卡，暫不支持模擬」，且有「復制卡號」按鈕，請點擊「復制卡號」，根據提示添加。
復制卡號 ：當實體門禁卡為加密卡無法模擬時，部分機型可通過復制卡號功能生成一張僅包含門禁卡卡號，不包含秘鑰信息的鑰匙卡片。因為部分門禁POS機在刷卡時只驗證卡號，所以通過復制卡號生成的卡片也可能刷卡成功。
如下為支持 復制卡號 功能的機型：
方法二： 開通一張空白卡，再將手機拿到物業或相應授權單位進行寫卡操作，寫卡成功後即可用手機替代實體門禁卡使用。
註： 部分物業或相關的授權單位寫卡機制不同可能出現即使寫卡成功也無法刷卡成功的情況。
以上方法僅供大家參考。
添加模擬門鑰匙方法
添加之前，最好將華為錢包升級至華為應用市場能看到的最新版本。
華為錢包版本9.0.1.300或以上：
1. 在 華為錢包 > 卡包 > + > 鑰匙 ，進入「添加門鑰匙」頁面。
2. 點擊 模擬 ，將實體門卡貼在手機NFC感應部位，讀卡成功後自動模擬門鑰匙。
3. 模擬成功後編輯門鑰匙樣式和名稱，然後點擊「完成」添加成功。
華為錢包版本9.0.1.300以下：
1. 登錄 華為錢包 ，點擊「 門鑰匙 」，然後點擊「 添加 」進入「添加門鑰匙」頁面。
2. 點擊「模擬」，將卡片貼在手機NFC感應部位，讀卡成功後自動模擬門鑰匙。
3. 模擬成功後編輯門鑰匙樣式和名稱，然後點擊「完成」添加成功。
支持添加模擬門鑰匙的數量及機型
只支持 中國大陸官方渠道購買 的華為手機，並且使用 中國大陸的華為帳號 。
同一部手機最多可以添加5張門鑰匙。因不同種類門卡添加到手機時，佔用的晶元空間大小不同，所以少部分實體門卡，一部手機最多隻能添加3張。
支添機型詳見下表，如果手機支持但沒有門鑰匙功能，請將華為錢包升級至華為應用市場能看到的最新版本（ 友情提示 ：請勿在第三方應用市場下載錢包）。
P30系列、Mate20系列、MateRS、Mate10系列、Mate9系列、P20系列、P10系列、Nova 2s、榮耀Magic2、榮耀V20、榮耀Note10、榮耀10（不含青春版）、榮耀V10、榮耀9（不含青春版）、榮耀V9（不含play版）、榮耀8（不含青春版）、榮耀V8全網通版。
想要復制加密卡唯一辦法就是買台pm3讀卡器！買讀卡器裡面就會叫你怎麼復制加密卡，只要有nfc功能的手機手環都可以寫入加密數據
兩種方法：
1.舊小區沒有升級門禁系統，空白卡復制後，找物業將卡加入系統。
2.淘寶購買讀寫器，並添加公交卡NFC後，寫入卡信息。
用過的都知道，mate20,p30都可以模擬加密卡。模擬的時侯提示不可以，下面有一個復制選項，復制完就能用
簡單概括，手機支持的ic卡頻率，直接讀取解碼，然後復制。就像淘寶萬能鑰匙復制的機器。稍復雜點的加密就處理不了

5. 華為手環GT2 42mm 如何把加密卡改成不加密卡

是不是加密卡取決於卡本身。。

和你的手環沒有任何關系

一般來說只要是加密卡，手環都是無法復制的。

6. 感應式讀卡器，復制你的門禁卡、購物卡、飯卡，你的卡還安全么

看了這個，你的飯卡還安全嗎？

僅供測試，請勿模仿。

//NFC是什麼，肯德基嗎，，，不。。。

近場通信（Near Field Communication，簡稱NFC），是一種新興的技術，使用了NFC技術的設備

（例如行動電話）可以在彼此靠近的情況下進行數據交換，是由非接觸式射頻識別（RFID）及 互連 互通技術整合演變而來的，通過在單一晶元上集成感應式讀卡器、感應式卡片和點對點通信的功能，利用移動終端實現移動支付、電子票務、門禁、移動身份識別、防偽等應用。由飛利浦公司和索尼公司共同開發的一種非接觸式識別和互聯技術，可以在移動設備、消費類電子產品、PC和智能控制項工具間進行近距離無線通信。NFC功能提供了一種簡單、觸控式的解決方案，可以讓消費者簡單直觀地交換信息、訪問內容與服務。

藉助CM9 rom的nfc讀寫標簽功能，實現軟體卡模擬。（之前的版本都沒有，google官方版本沒有開放此功能，目前從android 5.0起google開放了其他nfc api以進行卡模擬操作，）。

手機或手環等帶有NFC功能的設備通過模擬IC卡的操作，把像小區門禁卡、飯卡等IC卡的數據復制到手機的NFC晶元上面，以後就可以用手機的NFC功能進行刷卡。

可以截獲安卓手機支持的13.56hz nfc無線通訊協議的所有標簽數據，nfc非接觸黑盒測試一直沒有太好的方案，要麼太高端（需要專業的設備），要麼不好用（proxmark3也不便宜，監聽無線的方式導致截獲數據不穩定，也沒有現成兒的解決方案，操作的便捷性和交互性也好差）nfcproxy給我們這些偶爾用一用的測試狗提供了一種低成本高效率的解決方案，支持各種nfc標簽，iso 14443標准，ap數據也是完整穩定的，基於安卓app源碼的二次開發也非常簡單，會java的隨便改改基本都不是問題。基於這個 app可以以軟體方式衍生出多種測試方式

1、 卡和終端之間數據的嗅探

2、 交互過程中的數據修改

3、 模擬卡

最關鍵的還是簡單，買倆一百來塊錢一個的二手手機就可以了。

硬體需求：

兩個帶nfc功能的android手機（咸魚最便宜300塊錢以內可以搞定）一個帶非接觸功能的POS或者讀卡器（有個pos最省事，我有一個支持銀聯閃付的pos）自己的銀行卡，支持非接觸支付的，有銀聯quick pass標志的都可以

1、基於支持CM9 rom的安卓手機一個

我用的是谷歌親兒子一代 nexus s,ROM是slim 4.3 build 2-OFFICIAL-1332 一個基於cm的定製版本

android版本 4.3.1。我買得早，略貴，現在閑魚買二手的話沒有必要買這個，後面幾代也都便宜了，二兒子三兒子四兒子什麼的，都可以考慮，一加一也可以考慮，略貴。理論上支持CM9的都可以，但由於

CM官網已經黃了老版本的rom不好找，所以盡量要先找到手機對應的老版本的rom再決定買啥。 2、帶nfc功能的安卓手機一個（最好也支持cm9）

我用的是 三星 GALAXY S2的T版SGH-T989大力神，CM版本是11-20160815-NIGHTLY-hercules，

android版本4.4.4 ，cm11好像已經去掉軟體卡模擬的功能了，我也沒有去降rom版本，有一個能用行了。只要不是太奇葩的定製rom，理論上都可以。建議還是選擇支持cm的，比較保險。硬體選擇同上軟體需求：

有完整的功能實現，大家可以直接打包使用我基於自己用著方

便，整合了emv-bertlv庫，可以直接在app里把交互數據拆包。大家可以用著試試我的github地址：

本地app包下載：

使用方法

兩個手機都安裝nfcproxy都打開NFC功能連接到同一個wifi，兩個手機之間可以相互訪問

1、 proxy端設置

在支持cm9卡模擬的手機（我得是nexus s），打開nfcproxy軟體，點設置，取消 relay mode 單選框IP 地址填另一個手機的wifi ip埠 填另一個手機的nfcproxy監聽埠，默認9999encrypt

communications 不需要選，自己玩不用加密always keep screen on 隨便debug logging 勾上，可以顯示出卡號。然後退出設置。

2、 relay端的設置

在另外一個手機（我得是t989），打開nfcproxy軟體，點設置，勾選 relay mode 單選框IP 地址 不用填

埠 填剛剛在另一個手機設置的nfcproxy監聽埠，默認9999，兩邊一樣就行encrypt

communications 不需要選，自己玩不用加密always keep screen on 隨便debug logging 勾上，可以顯示出卡號。然後退出設置。

3、 測試

1、 將用於relay端的手機，nfcproxy軟體打開貼到銀行卡上，這時status窗口應該提示

TechList:android.nfc.tech.IsoDepandroid.nfc.tech.NfcA，如果沒反應請檢查nfc是否打開，手機

NFC功能是否正常

2、 將POS機弄到選擇消費，輸入金額後，提示請刷卡的界面

3、 將用於proxy端的手機，nfcproxy軟體打開，去貼到POS機上執行非接刷卡動作。

正常情況貼上去後nfcproxy的data窗口會提示：Reader

TAG:Tech[android.nfc.tech.Iso.PcdA]Connecting to NFCRelayConnected to NFCRelayTransaction

Complete!這說明已經已經連上了貼卡那台手機，POS機的請求已經轉發到卡上了，並且卡的應答已經轉發回來了，交易成了。這時候POS應該顯示請輸入密碼了，輸入密碼交易成功。再看replay端的 nfcproxy的data窗口，就可以看到交互的數據了在數據上長按可以選擇最右面的三個豎點，export to file將截取的數據保存到內部存儲的/NfcProxy目錄中

注1：如果帖POS的手機沒反應，需要檢查nfc功能是否正常

注2：status 提示 connection to NFCRelay failed 需要檢查兩台手機wifi是否聯通，配置的ip和埠是否正常

祝好運。

btw： 這個方案15年我就在用，只是工作測試pos需要，偶爾用到感覺很方便，最近又用了一次，下決心整理一下。之前都看大神的文章，自己也為社區貢獻一次。軟體本身還有很大潛力可以挖，比如動態修改交互數據什麼的。。。。。。 你們懂的，不要亂來哦，會查水表的。 另外也發現有一些終端讀卡會採用一些奇怪的模式，導致軟體報錯，這時候只能再用proxmark3暴力監聽了，但這個mitm的方式比 proxmark方便多了，也便宜的多了哈。最後附一張ppt里的圖，我簡單畫了一下，方便大家理解

在復制IC卡這一塊，我把IC卡分為加密卡和非加密卡兩類，非加密卡請直接嘗試復制，不行的話參照加密卡的教程。

工具：

1.硬體：PN532(初學者建議購買這個，某寶賣30RMB左右，一般的半加密卡用這個就能破解了，全加密卡需要用到PM3)，USB轉ttl線，小米手環NFC版（3代4代隨意），cuid卡

2.軟體：PN532的驅動（自己問賣家要，找對應的驅動，或看看我鏈接里的驅動適不適合）、winhex、

MifareOneTool（簡稱M1T）、NFC_READER_crack。

首先把USB轉ttl線與PN532連接好（線序定義：黑GND, 紅VCC,白SDA,綠SCL）。然後在電腦安裝好

PN532的驅動，PN532連接到電腦，然後查看設備管理器，COM口那有設備證明已經成功安裝好驅動了。

打開M1T軟體，點擊檢測連接然後一鍵解原卡，有密鑰的會嘗試破解，破解成功後會導出一個.mp文件，我們把它保存。

用winhex打開該.mp文件，把AB密鑰用FF填充，填充好了之後我們另存為一份，順便把開頭的卡號記下來（8位）

之後我們再次打開M1t，選擇高級操作模式，打開Hex編輯器，把剛剛找的八位卡號復制下來，再打開工具，修改UID，把剛才復制的八位卡號粘貼到裡面，點確定，然後點文件-另存為一個.mfd文件。

高級模式里選擇cuid寫，把剛剛的.mfd文件寫入cuid卡裡面，如果沒寫滿64個塊就再寫一次。

小米手環選擇門卡模擬，把剛剛寫入了.mfd文件的cuid卡模擬到小米手環上，之後打開

NFC_READER_crack這個軟體，選擇寫普通M1卡，把填充好密鑰的飯卡數據寫入手環中。如果只寫入63個塊，那也沒關系，去試試能不能用。

然後就大功告成啦！！

本教程切勿用於非法用途，復制飯卡余額都是一樣的，不存在修改余額這一說。飯卡原本余額是多少的，你用什麼來打飯余額都是一樣。復制到手環里只是為了方便打飯。

Q：為什麼到了最後把數據寫入手環時不用原來的M1T而是用NFC_READER_crack呢？

A：因為用M1T寫入數據到手環會出現玄♂學問題，就是寫不到63個塊，用NFC_READER_crack就沒有問題。如果是用cuid卡來復制門禁卡的話可以嘗試用M1T。

Q：那如何復制門禁卡？

A：門禁卡如果是半加密卡的話可以參照本文來復制，如果是非加密卡的話試試直接模擬可不可以，如果不行的話按照讀出數據（保存）–生成一個帶有卡號的.mfd文件–復制到cuid卡–手環模擬該cuid卡–手環寫入門禁卡數據這一步驟來復制。

生活中不乏其他案例，黑客破解NFC公交卡，可無限次乘車，甚至可以劫持帶有NFC功能的手機，所以安全問題顯而易見，畢竟防人之心不可無。

7. CUID卡是IC卡還是ID卡

CUID卡是IC卡。

CUID卡是可擦寫防屏蔽卡，可以重復擦寫所有扇區。UID卡復制無效的情況下使用，可以繞過防火牆。

CUID只能寫一次，再寫就會報錯，這時需要對卡進行格式化。讀取分析卡之後保存文件，然後使用還原有密S50卡，載入剛才保存的文件，再次寫入所需的卡數據就不報錯了。

(7)CUID加密變非加密卡擴展閱讀

原理

IC卡是集成電路卡，IC卡晶元具有寫入數據和存儲數據的能力，可對IC卡存儲器中的內容進行判定。

在卡上封裝有符合ISO標準的晶元，有6~8個觸點和外部設備進行通信，在IC卡上可以有彩色圖案和說明性文字按ISO標准，IC卡的部分觸點及其定義為：

VCC：IC卡工作電源；GND：接地；VPP：存儲器編程電源；CLK：有關信號的定時與同步；I/O：卡中串列數據的輸入與輸出；RST：復位信號。

當IC卡插入IC卡讀卡器後，各接點對應接通，IC卡上的超大規模集成電路就開始工作。