1、最简单ID卡破解

　　文中提到的是最为之简单的部分，其识别是经过后台数据库进行匹配的，实际上几乎100%的大型环境下（包括文中所说的学校）也是无法做到完全与后台匹配的，或者简单来说那只是跟读卡器的交互而已！谈不上是数据库。

　　我们所知的HID等基于125kHz频率的低频卡，ID部分都是固化的（或者如本文所说的只读），但实际上并非完全如此，正如文中所说，大家可以购买相关的空白卡进行复制操作。实际上作者完全忽略了一个问题，所谓空白卡是有分别的，好像HID要复制就必须要使用T55X7类的卡，而T55X7也叫TK4100（EM4100）卡，该卡存在ID可修改的功能性并且存在数据存储性。而文中所提到的厚卡和薄卡也是对于ID卡的一种分别！

　　还有就是作者忽略了一个对于某种卡类的安全隐患！em4100的ID是无法穷举的，但是HID的ID是可以穷举的。

　　2、射频IC卡破解

　　射频卡IC卡顾名思义就是所谓的利用射频识别技术的IC卡，然而IC卡就是大家经常所谓存在存储功能的卡，包括了文中所说的S50卡！但实际上em4100系列以及HID系列也是IC卡。

　　文中提到有三种手法是常见的，但我个人不认为其中的两种是所谓的破解手法：

　　1、跟ID卡一样，复制IC卡的UID号码写入到新的空白IC卡中。

　　该手法是基于无需任何密钥的情况下进行的操作，但是我曾经介绍过关于某卡的破解手法就说过为什么需要XOR得出其余的数据，并且就算我们不需要XOR得出相关的数值，就以前8位作为UID写入UID白卡的情况下，你完全无法确保读取系统是否识别，因为0区的数值不仅仅包括了UID。UID作为一种可知的条件存在的时候，不经过任何限制性操作而进行的复制何以成为破解的手法之一？其背后存在各种不稳定因素，使得这个手法未能得到肯定。

　　3、破解IC卡的密码之后，把所有数据导出再写入到一个新的空白IC卡中（太长不写了）

　　实际上作者是想说破解得出的数据，利用NFC设备/逆向设备进行相关的Tag模拟，首先要问清楚一下作者的就是NFC手机是基于哪几种芯片而言？系统是什么？因为现在已知的多个操作系统以及NFC芯片是不支持MIFARE

　　CLASSIC的模拟，而只能够模拟基于ISO14443A标准的部分类型，并且模拟是一种很复杂的软件工程，并非是作者说的这么简单，并且这也不是破解，需要破解什么呢？

　　或者我以看官的角度来说，常见破解手法作者就说了一个，而这一个手法就是“破解”。在已知密钥的情况下进行的一切操作可以谈作为是破解嘛？

　　关于IC卡部分的介绍也有一点问题，原文内容是“每个扇区都有独立的一对密码KeyA和KeyB负责控制对每个扇区数据的读写操作”这句话前半部分是正确的，而后半部分是错误的，实际上密钥就是Access条件，而这个Access的权限是由卡的控制字节限制，如果按照作者的说法的话，只要你知道密钥你就是拿到超级管理员权限啦，但可惜事实往往是残酷的，控制字节会限制密钥的权限，所以没有控制字节，密钥P都不是，因为作者在这里埋下了炸弹，所以实际上下面的内容就出现不可补救的错误。

　　IC卡的UID是固化在内而并且写死在内的，所谓写死就是说你可以以权限去进行修改，只不过你没有这个权限，但实际上UID是固化在内的！并且作者没有说有控制自字节的情况下，所以包括0区以内的所有区块都是不可读写的。

　　破解的几种环境：

　　1、作者实际上的意思是说当环境识别为基于UID进行认证的认证模式下

　　2、当环境需要以UID作为第一认证，其密钥作为数据读取条件，而控制字节允许读取写入的情况下

　　3、当环境不需要以UID作为第一认证，其密钥作为数据读取条件，而控制字节允许读取写入的情况下，读取该卡某个区块的制定数据识别操作，而不是密钥！！

　　密码破解的几种方法：

　　1）密钥列表当中的12个0是不存在的，还有就是16进制有Z的吗？看来是我土了！

　　2）关于认证嵌套漏洞，这个因为作者文章忽略了权限的部分，所以我可否忽略？因为没有权限，何来认证嵌套漏洞呢？

　　3）DarkSide攻击，仅仅是基于IC卡类别当中NXP公司所发布的MIFARE

　　CLASSIC系列（S50/S70）而不是所有的IC卡！文中没有说明问题究竟是存在于哪里，我也曾经说过关于这个方面的问题，什么是PRNG漏洞，以及PRNG漏洞和WEP的关系！所以不再多说

　　4）正常验证过程获取Key，首先SAM并非是正常，而是在不安全的对称性算法当中增加了一个安全模块，去加密彼此之间的通信安全，但就是基于读卡器返回的数值是明文而存在了关于监听攻击的内容，文中好像把我之前关于SAM部分非监听部分的内容拿出来说之后，而没有注意究竟问题是什么！

　　SAM不是仅仅只是保存与读卡器内的一个密码模块，这是SAM最简单最基本的部分，但实际上SAM是基于UID进行分散式的运算，并非如文中作者所说这么简单！因为就算非SAM所授权的卡也可以利用SAM进行破解！

　　5）另一方面，我比较怀疑的一个方面，这个所谓的USB拦截是否是基于交互的过程中？还是仅仅是基于挂载KeyA的时候的操作呢？当中如果是基于非SAM环境下，这样子的通信监听是存在的，我只是怀疑这个演示内容而已。

　　常用工具说明：

　　1）mfocGUI是mfoc的GUI版本！并非仅仅是基于认证嵌套漏洞，是基于默认密钥+认证嵌套漏洞的整合。

　　2）Proxmark3的Darkside就是mfcuk！不要反过来，Proxmark3和mfuck不存在老爸老妈的！mfuck的团队把代码

　　移植去Proxmark3后就将mfuck停止更新了，而且你说错另外一个事情就是，就是因为出现错误的Nt才需要基于错误的Nt进行第二次的攻击，而不是更换另外一个Nt，更换这词代表着攻击者存在多个Nt替换，可惜的就是不存在所谓的Nt进行更换！Nt是随机的而不是已知的。

    文章来源：http://shuzi.blog.51cto.com/3685900/1603125