CUID加密变非加密卡

1. 门禁卡电梯卡写入NFC设备（手机、手环等）

目前，许多便携设备都具有全功能NFC，如手机、手环、手表。NFC具体门禁卡功能，如果能把所需的门禁卡、电梯卡模拟到这些便携设备中，会大大方便我们的生活，但该功能仅支持特定的非加密卡的模拟。而现实中，大多数门禁卡、电梯卡都是加密卡，直接模拟并不能成功。这就需要先对加密卡进行解密处理，数据修改，先模拟仅含卡号的解密卡，然后再写入加密内容，从而达到模拟加密卡的目的。

说明:

需要的设备:

1.PN532开发板及相关软件，东西很便宜，好像30+元，软件找店家要就行。

2.CUID卡，这种可以反复擦写，和PN532一起买就可以了。

正文开始（以小米手环6NFC版为例）:

一、破解门禁卡

1. 电脑接入pn532开发板(注意usb供电)。

2. 将待破解的门禁卡放到pn532开发板上,打开工具”上位机”:先点击” 发现NFC设备”,再点” 读整卡”。耐心等待读取完成（如长时间无法读取，可反复插拔设备或变换卡片位置或更换卡片）。

3. 读取成功，即破解完成，点击窗口区左上角三角符号，保存读取的文件（.mp格式，称之为文件A）。

二、解密加密文件

4. 打开工具“DumpTxt互转”，将文件A拖入该工具，弹出信息，点击确定，将由文件A转换的文件（.txt格式，称之为文件a）保存。

5. 修改文件a：用文本编辑器打开文件a，除每个扇区的最后一行和0扇区第一行外，全部修改为00；每个扇区的最后一行包含KEY A、KEY B和中间3个位的“07 80 69”全部修改为FF；0扇区的第一行保留不作修改（该行为卡号和厂商信息，厂商信息在最终写入时会不被写入，但不影响使用）。另存修改后的文件（.txt文件，称之为文件b）。

6. 将文件b拖入工具“DumpTxt互转”， 弹出信息，点击确定，将由文件b转换的文件（.mp格式，称之为文件B）保存。

三、模拟解密文件

7. 拿一张cuid卡（可反复擦写），放到pn532开发板上，先点击” 发现NFC设备”,再点” 读整卡”，然后点“写整卡”，等待写入完成。

8. 打开手机上的小米运动app，找到小米手环6NFC，点模拟门卡，选模拟实体卡，将cuid卡紧贴小米手环6NFC，按小米运动app上提示的步骤操作完成。此步骤是将带有卡头的非加密卡模拟进小米手环6NFC。

四、写入加密文件

9. 将小米手环6NFC放到pn532开发板上，先点击” 发现NFC设备”,再点” 读整卡”，最后点击“写整卡”，弹出打开窗口，选择文件A，确定，写入成功。至此门禁卡写入小米手环6NFC成功。

2. 教你用手机模拟加密门禁卡-不用电脑

1、前言
  目前，IC卡已被广泛应用于身份识别、金融消费、安全认证等领域。大多数人每天都要和各种各样的卡片打交道，上班有考勤卡，吃饭有饭卡，健身有会员卡，停车有停车卡，连回个家都得先把门卡翻出来，各种各样的卡，方便我们生活的同时也为我们的生活带来一点点不便。其实NFC手机不仅可以模拟公交卡和银行卡，还能瞬间秒变以上各种卡，只要一部手机即可实现刷卡自由。你，是时候get真正的技能啦！！！
2、支持的手机
  想要实现手机秒变各种卡，首先你得有个带NFC功能的安卓手机，目前大部分安卓手机都有这个功能。
3、支持的门禁卡
  普通门禁卡分加密和未加密两种，如果你的卡未加密，那么恭喜你，你可以用手机直接模拟。如果你的卡加密了，那么就稍微麻烦一点，需要先破解门禁卡拿到密码，有了密码后才能用手机模拟。接下来我会一步一步教你怎样用手机模拟加密门禁卡。

软硬件准备

简述流程

  首先，用NFC手机自带的门卡模拟软件去模拟自己的门禁卡，我的MIX2S门卡模拟软件的入口在小米钱包App主页，其他机型请自行寻找。模拟时，这里会有以下四种情况：

1、手机读卡后正常进入下一步： 这说明你的卡是普通的未加密M1卡，恭喜你，你可以轻松用手机模拟该卡了，模拟成功后就可以刷卡开门了；

2、手机读卡无反应： 这种情况说明你的门禁卡是ID卡，手机只支持模拟IC卡，如果你的门禁卡是ID卡，那就没办法用手机模拟了（记得多用手机读几次）；

3、手机提示该卡不支持模拟： 这种情况是因为你的门禁卡不是标准的M1卡，一般公交卡或者银行卡或者带储值功能的卡会出现这种提示（记得多用手机读几次）；

4、手机提示卡片加密： 这种情况说明你的卡是加密M1卡，大多数门禁卡、电梯卡、会员卡都是这种情况，本文主要就是教你用手机模拟这种卡片。

0x01 NFC Reader Tool 破解母卡，得到mp文件

  完成上面基本检测操作后，接下来在备用机上打开 NFC Reader Tool ，NFC Reader Tool 需要用微信登录，备用机上未安装微信的话，软件会调用微信扫码登录。登录后点击连接设备，设备连接成功后把卡片靠近读卡器，然后使用软件的一键解密功能，下面就耐心等待软件破解，一般几分钟到几十分钟就解完了。

  破解完成后就会得到mp文件，这时使用软件的保存密钥功能，把密钥保存好，待会有用。

0x02 NFC Reader Tool 格式化母卡，得到非加密母卡

  很多教程在这步叫我们准备一张可以修改卡号的非加密特殊后门卡，然后把后门卡的卡号修改成母卡的卡号，然后用NFC手机模拟这张修改了卡号的非加密特殊后门卡。

  其实用不着这么麻烦，我们只需要用NFC Reader Tool 把母卡格式化，就可以得到一张非加密母卡，这时就可以进行下一步了。

0x03 NFC手机模拟非加密母卡
  这时候像最开始检测门禁卡是否加密那个步骤那样，用NFC手机里系统自带的模拟软件去模拟第二步中得到的非加密母卡，这时候手机不会再提示卡片加密，而是直接模拟成功并进入下一步，此时按提示操作模拟即可。

0x04 NFC Reader Tool 写入mp文件到手机

  首先，我们在手机上把刚才模拟的非加密母卡设置成默认卡（一般在刷卡的时候会出现默认卡片选择界面，设置默认卡片后手机刷卡时才能调用正确的卡片）。

  然后，把手机放在读卡器上，打开NFC Reader Tool 的写入功能，选择前文中获得的密钥和mp文件，并开始写入。用同样的方法，可以把0x02中的非加密母卡也变回加密母卡。

  写入成功后，大功告成！！！

0x05 手机模拟的卡片和原来的加密卡一模一样，可以刷卡开门了

  滴，成功开门！！！

  没什么好总结的，照着步骤一步一步来，肯定会成功的。

  至于NFC Reader Tool 这个软件，它支持各种卡片的读写以及破解，文中只涉及到最简单最常用的一种情况，如果你在实际操作中遇到问题，记得在软件设置界面加入QQ群，里面有热心的技术大牛解答你各种疑问。

3. 门禁卡加密怎么用nfc

方法1：mifare经典工具读原卡扇区0后，写到cuid卡，再用一加模拟cuid卡（合适没root，加密卡）

方法2:（合适root，加密卡）

方法1和方法2均为只模拟了卡号，该方法部分小区可以开门。（方法1和2使用默认付款应用是一加公交卡，方法3是公交卡）

方法3（针对方法1或者方法2无法开门）：（合适root和没root，加密卡）

1、nfc触碰付款-默认付款应用-选公交卡（是公交卡，而不是一加公交卡。看清楚文字区别，看清楚再选）。

2、回到卡券，刷卡状态，用电脑或者手持读写器把数据写入（或者用其他nfc手机写入也可能可以，比如mifare经典工具）

3、电脑或者手持读写器几十块到几百块不等。（成功做了这步相当于模拟全卡）

怎么获取数据，问物业或者网络。

方法4：（合适root或者没root，加密卡，有或者没nfc的手机）

不想麻烦的，就网上买个手机贴（一般四种：id、ic、uid、cuid，6块钱左右，6块的带了防磁的了，可以避免手机电磁干扰），拿到物业那开卡（或者买了后带到街上配，几块钱人工费。因为街上不一定有手机贴直接配，那你就买了带过去配），贴到手机（相对1到3方法，哪个麻烦自己衡量，合适折腾的人。）

4. 华为手环此卡为加密卡

华为手机在复制加密NFC卡时，会提示：
“此卡为加密卡，暂不支持模拟”
表示此即为 加密的NFC卡
方法一： 重试添加门禁卡，如界面出现 “此卡为加密卡，暂不支持模拟”，且有“复制卡号”按钮，请点击“复制卡号”，根据提示添加。
复制卡号 ：当实体门禁卡为加密卡无法模拟时，部分机型可通过复制卡号功能生成一张仅包含门禁卡卡号，不包含秘钥信息的钥匙卡片。因为部分门禁POS机在刷卡时只验证卡号，所以通过复制卡号生成的卡片也可能刷卡成功。
如下为支持 复制卡号 功能的机型：
方法二： 开通一张空白卡，再将手机拿到物业或相应授权单位进行写卡操作，写卡成功后即可用手机替代实体门禁卡使用。
注： 部分物业或相关的授权单位写卡机制不同可能出现即使写卡成功也无法刷卡成功的情况。
以上方法仅供大家参考。
添加模拟门钥匙方法
添加之前，最好将华为钱包升级至华为应用市场能看到的最新版本。
华为钱包版本9.0.1.300或以上：
1. 在 华为钱包 > 卡包 > + > 钥匙 ，进入“添加门钥匙”页面。
2. 点击 模拟 ，将实体门卡贴在手机NFC感应部位，读卡成功后自动模拟门钥匙。
3. 模拟成功后编辑门钥匙样式和名称，然后点击“完成”添加成功。
华为钱包版本9.0.1.300以下：
1. 登录 华为钱包 ，点击“ 门钥匙 ”，然后点击“ 添加 ”进入“添加门钥匙”页面。
2. 点击“模拟”，将卡片贴在手机NFC感应部位，读卡成功后自动模拟门钥匙。
3. 模拟成功后编辑门钥匙样式和名称，然后点击“完成”添加成功。
支持添加模拟门钥匙的数量及机型
只支持 中国大陆官方渠道购买 的华为手机，并且使用 中国大陆的华为帐号 。
同一部手机最多可以添加5张门钥匙。因不同种类门卡添加到手机时，占用的芯片空间大小不同，所以少部分实体门卡，一部手机最多只能添加3张。
支添机型详见下表，如果手机支持但没有门钥匙功能，请将华为钱包升级至华为应用市场能看到的最新版本（ 友情提示 ：请勿在第三方应用市场下载钱包）。
P30系列、Mate20系列、MateRS、Mate10系列、Mate9系列、P20系列、P10系列、Nova 2s、荣耀Magic2、荣耀V20、荣耀Note10、荣耀10（不含青春版）、荣耀V10、荣耀9（不含青春版）、荣耀V9（不含play版）、荣耀8（不含青春版）、荣耀V8全网通版。
想要复制加密卡唯一办法就是买台pm3读卡器！买读卡器里面就会叫你怎么复制加密卡，只要有nfc功能的手机手环都可以写入加密数据
两种方法：
1.旧小区没有升级门禁系统，空白卡复制后，找物业将卡加入系统。
2.淘宝购买读写器，并添加公交卡NFC后，写入卡信息。
用过的都知道，mate20,p30都可以模拟加密卡。模拟的时侯提示不可以，下面有一个复制选项，复制完就能用
简单概括，手机支持的ic卡频率，直接读取解码，然后复制。就像淘宝万能钥匙复制的机器。稍复杂点的加密就处理不了

5. 华为手环GT2 42mm 如何把加密卡改成不加密卡

是不是加密卡取决于卡本身。。

和你的手环没有任何关系

一般来说只要是加密卡，手环都是无法复制的。

6. 感应式读卡器，复制你的门禁卡、购物卡、饭卡，你的卡还安全么

看了这个，你的饭卡还安全吗？

仅供测试，请勿模仿。

//NFC是什么，肯德基吗，，，不。。。

近场通信（Near Field Communication，简称NFC），是一种新兴的技术，使用了NFC技术的设备

（例如移动电话）可以在彼此靠近的情况下进行数据交换，是由非接触式射频识别（RFID）及 互连 互通技术整合演变而来的，通过在单一芯片上集成感应式读卡器、感应式卡片和点对点通信的功能，利用移动终端实现移动支付、电子票务、门禁、移动身份识别、防伪等应用。由飞利浦公司和索尼公司共同开发的一种非接触式识别和互联技术，可以在移动设备、消费类电子产品、PC和智能控件工具间进行近距离无线通信。NFC功能提供了一种简单、触控式的解决方案，可以让消费者简单直观地交换信息、访问内容与服务。

借助CM9 rom的nfc读写标签功能，实现软件卡模拟。（之前的版本都没有，google官方版本没有开放此功能，目前从android 5.0起google开放了其他nfc api以进行卡模拟操作，）。

手机或手环等带有NFC功能的设备通过模拟IC卡的操作，把像小区门禁卡、饭卡等IC卡的数据复制到手机的NFC芯片上面，以后就可以用手机的NFC功能进行刷卡。

可以截获安卓手机支持的13.56hz nfc无线通讯协议的所有标签数据，nfc非接触黑盒测试一直没有太好的方案，要么太高端（需要专业的设备），要么不好用（proxmark3也不便宜，监听无线的方式导致截获数据不稳定，也没有现成儿的解决方案，操作的便捷性和交互性也好差）nfcproxy给我们这些偶尔用一用的测试狗提供了一种低成本高效率的解决方案，支持各种nfc标签，iso 14443标准，ap数据也是完整稳定的，基于安卓app源码的二次开发也非常简单，会java的随便改改基本都不是问题。基于这个 app可以以软件方式衍生出多种测试方式

1、 卡和终端之间数据的嗅探

2、 交互过程中的数据修改

3、 模拟卡

最关键的还是简单，买俩一百来块钱一个的二手手机就可以了。

硬件需求：

两个带nfc功能的android手机（咸鱼最便宜300块钱以内可以搞定）一个带非接触功能的POS或者读卡器（有个pos最省事，我有一个支持银联闪付的pos）自己的银行卡，支持非接触支付的，有银联quick pass标志的都可以

1、基于支持CM9 rom的安卓手机一个

我用的是谷歌亲儿子一代 nexus s,ROM是slim 4.3 build 2-OFFICIAL-1332 一个基于cm的定制版本

android版本 4.3.1。我买得早，略贵，现在闲鱼买二手的话没有必要买这个，后面几代也都便宜了，二儿子三儿子四儿子什么的，都可以考虑，一加一也可以考虑，略贵。理论上支持CM9的都可以，但由于

CM官网已经黄了老版本的rom不好找，所以尽量要先找到手机对应的老版本的rom再决定买啥。 2、带nfc功能的安卓手机一个（最好也支持cm9）

我用的是 三星 GALAXY S2的T版SGH-T989大力神，CM版本是11-20160815-NIGHTLY-hercules，

android版本4.4.4 ，cm11好像已经去掉软件卡模拟的功能了，我也没有去降rom版本，有一个能用行了。只要不是太奇葩的定制rom，理论上都可以。建议还是选择支持cm的，比较保险。硬件选择同上软件需求：

有完整的功能实现，大家可以直接打包使用我基于自己用着方

便，整合了emv-bertlv库，可以直接在app里把交互数据拆包。大家可以用着试试我的github地址：

本地app包下载：

使用方法

两个手机都安装nfcproxy都打开NFC功能连接到同一个wifi，两个手机之间可以相互访问

1、 proxy端设置

在支持cm9卡模拟的手机（我得是nexus s），打开nfcproxy软件，点设置，取消 relay mode 单选框IP 地址填另一个手机的wifi ip端口 填另一个手机的nfcproxy监听端口，默认9999encrypt

communications 不需要选，自己玩不用加密always keep screen on 随便debug logging 勾上，可以显示出卡号。然后退出设置。

2、 relay端的设置

在另外一个手机（我得是t989），打开nfcproxy软件，点设置，勾选 relay mode 单选框IP 地址 不用填

端口 填刚刚在另一个手机设置的nfcproxy监听端口，默认9999，两边一样就行encrypt

communications 不需要选，自己玩不用加密always keep screen on 随便debug logging 勾上，可以显示出卡号。然后退出设置。

3、 测试

1、 将用于relay端的手机，nfcproxy软件打开贴到银行卡上，这时status窗口应该提示

TechList:android.nfc.tech.IsoDepandroid.nfc.tech.NfcA，如果没反应请检查nfc是否打开，手机

NFC功能是否正常

2、 将POS机弄到选择消费，输入金额后，提示请刷卡的界面

3、 将用于proxy端的手机，nfcproxy软件打开，去贴到POS机上执行非接刷卡动作。

正常情况贴上去后nfcproxy的data窗口会提示：Reader

TAG:Tech[android.nfc.tech.Iso.PcdA]Connecting to NFCRelayConnected to NFCRelayTransaction

Complete!这说明已经已经连上了贴卡那台手机，POS机的请求已经转发到卡上了，并且卡的应答已经转发回来了，交易成了。这时候POS应该显示请输入密码了，输入密码交易成功。再看replay端的 nfcproxy的data窗口，就可以看到交互的数据了在数据上长按可以选择最右面的三个竖点，export to file将截取的数据保存到内部存储的/NfcProxy目录中

注1：如果帖POS的手机没反应，需要检查nfc功能是否正常

注2：status 提示 connection to NFCRelay failed 需要检查两台手机wifi是否联通，配置的ip和端口是否正常

祝好运。

btw： 这个方案15年我就在用，只是工作测试pos需要，偶尔用到感觉很方便，最近又用了一次，下决心整理一下。之前都看大神的文章，自己也为社区贡献一次。软件本身还有很大潜力可以挖，比如动态修改交互数据什么的。。。。。。 你们懂的，不要乱来哦，会查水表的。 另外也发现有一些终端读卡会采用一些奇怪的模式，导致软件报错，这时候只能再用proxmark3暴力监听了，但这个mitm的方式比 proxmark方便多了，也便宜的多了哈。最后附一张ppt里的图，我简单画了一下，方便大家理解

在复制IC卡这一块，我把IC卡分为加密卡和非加密卡两类，非加密卡请直接尝试复制，不行的话参照加密卡的教程。

工具：

1.硬件：PN532(初学者建议购买这个，某宝卖30RMB左右，一般的半加密卡用这个就能破解了，全加密卡需要用到PM3)，USB转ttl线，小米手环NFC版（3代4代随意），cuid卡

2.软件：PN532的驱动（自己问卖家要，找对应的驱动，或看看我链接里的驱动适不适合）、winhex、

MifareOneTool（简称M1T）、NFC_READER_crack。

首先把USB转ttl线与PN532连接好（线序定义：黑GND, 红VCC,白SDA,绿SCL）。然后在电脑安装好

PN532的驱动，PN532连接到电脑，然后查看设备管理器，COM口那有设备证明已经成功安装好驱动了。

打开M1T软件，点击检测连接然后一键解原卡，有密钥的会尝试破解，破解成功后会导出一个.mp文件，我们把它保存。

用winhex打开该.mp文件，把AB密钥用FF填充，填充好了之后我们另存为一份，顺便把开头的卡号记下来（8位）

之后我们再次打开M1t，选择高级操作模式，打开Hex编辑器，把刚刚找的八位卡号复制下来，再打开工具，修改UID，把刚才复制的八位卡号粘贴到里面，点确定，然后点文件-另存为一个.mfd文件。

高级模式里选择cuid写，把刚刚的.mfd文件写入cuid卡里面，如果没写满64个块就再写一次。

小米手环选择门卡模拟，把刚刚写入了.mfd文件的cuid卡模拟到小米手环上，之后打开

NFC_READER_crack这个软件，选择写普通M1卡，把填充好密钥的饭卡数据写入手环中。如果只写入63个块，那也没关系，去试试能不能用。

然后就大功告成啦！！

本教程切勿用于非法用途，复制饭卡余额都是一样的，不存在修改余额这一说。饭卡原本余额是多少的，你用什么来打饭余额都是一样。复制到手环里只是为了方便打饭。

Q：为什么到了最后把数据写入手环时不用原来的M1T而是用NFC_READER_crack呢？

A：因为用M1T写入数据到手环会出现玄♂学问题，就是写不到63个块，用NFC_READER_crack就没有问题。如果是用cuid卡来复制门禁卡的话可以尝试用M1T。

Q：那如何复制门禁卡？

A：门禁卡如果是半加密卡的话可以参照本文来复制，如果是非加密卡的话试试直接模拟可不可以，如果不行的话按照读出数据（保存）–生成一个带有卡号的.mfd文件–复制到cuid卡–手环模拟该cuid卡–手环写入门禁卡数据这一步骤来复制。

生活中不乏其他案例，黑客破解NFC公交卡，可无限次乘车，甚至可以劫持带有NFC功能的手机，所以安全问题显而易见，毕竟防人之心不可无。

7. CUID卡是IC卡还是ID卡

CUID卡是IC卡。

CUID卡是可擦写防屏蔽卡，可以重复擦写所有扇区。UID卡复制无效的情况下使用，可以绕过防火墙。

CUID只能写一次，再写就会报错，这时需要对卡进行格式化。读取分析卡之后保存文件，然后使用还原有密S50卡，载入刚才保存的文件，再次写入所需的卡数据就不报错了。

(7)CUID加密变非加密卡扩展阅读

原理

IC卡是集成电路卡，IC卡芯片具有写入数据和存储数据的能力，可对IC卡存储器中的内容进行判定。

在卡上封装有符合ISO标准的芯片，有6~8个触点和外部设备进行通信，在IC卡上可以有彩色图案和说明性文字按ISO标准，IC卡的部分触点及其定义为：

VCC：IC卡工作电源；GND：接地；VPP：存储器编程电源；CLK：有关信号的定时与同步；I/O：卡中串行数据的输入与输出；RST：复位信号。

当IC卡插入IC卡读卡器后，各接点对应接通，IC卡上的超大规模集成电路就开始工作。