起因

小区门禁卡补办一张要50太贵了，经过一番研究，发现 pn532 这个东东，于是 pdd 上 48 包邮剁了一套有外壳的 pn532 读卡器，还附送了 4 个漂亮的卡通版 cuid 空白卡。当然店家还有手机端的软件跟注册码附送，如果有安卓机，直接手机上就能完成，可是我手里没得安卓机，只能在我的macbook上试验了，所以就有了下面的过程，记录一下。

nfc读卡器

准备

PN532 读卡器，typc 转 usb 接口线
门禁卡
空白的 cuid 卡
Macpro 13 寸电脑一台:系统版本 Mac OS 11

安装驱动

1. 我购买的这个 pn532 采用的 usb 转串口的调试芯片是沁恒的 ch340 芯片，所以去官网找到对应的 macos 驱动http://www.wch.cn/download/CH341SER_MAC_ZIP.html，下载并安装。
   安装完成过后，在控制台输入
   ls /dev/tty*可以看到类似/dev/tty.wchusbserial1340的设备,则说明已经被正确挂载了，如果没有设备，安装驱动包里相关教程进行设置。

2. ch340模块测试：如果手里有其他的 ch340 usb 转串口模块，只需要把模块的 rxd 与 txd 短接，然后控制台输入screen /dev/tty.wchusbserial1340随便按几下键盘看看是不是在屏幕上有返回 ，理论上是按什么返回什么说明模块驱动安装成功

工具库安装

如果要读取门禁卡信息，需要安装设备相关的工具库依赖，需要 libusb ，libnfc 这两个库,嫌编译安装麻烦，我直接使用 Homebrew 安装了。

这两个安装完成后，将 pn532 与 mac 连接好，门禁卡放上，然后控制台输入nfc-list,这时候如果不出意外，应该能读取到门禁卡的数据了。然而我的显示如下

nfc-list uses libnfc 1.8.0
0 device(s) found

解决方案：
控制台输入 LIBNFC_LOG_LEVEL=3 nfc-list 可以列出日志信息，大致如下

info    libnfc.config   Unable to open file: /usr/opt/local/etc/nfc/libnfc.conf
debug   libnfc.config   Unable to open directory: /usr/opt/local/etc/nfc/devices.d
debug   libnfc.general  log_level is set to 3
debug   libnfc.general  allow_autoscan is set to true
debug   libnfc.general  allow_intrusive_scan is set to false
debug   libnfc.general  0 device(s) defined by user
...

从日志中可以看到，相关的配置文件没有找到，去对应的位置添加配置文件和目录即可
我们需要修改 libnfc 配置文件开启自动扫描，否则将无法正确识别到 NFC 设备。libnfc.conf 配置信息如下,

allow_autoscan = true
allow_intrusive_scan = true

配置信息修改完成后，还需要添加 devices.d 目录，同时还需要在该目录下添加 pn532 设备的配置信息
新建目录

sudo mkdir -p /usr/opt/local/etc/nfc/devices.d

然后在 devices.d 目录下添加配置文件 mypn532.conf

name = "My_PN532"
connstring = pn532_uart:/dev/tty.wchusbserial1340
allow_intrusive_scan = true

添加完成后，再次运行nfc-list 就能正常读取到我们的门禁卡信息了

nfc-list uses libnfc 1.8.0
NFC device: My_PN532 opened
1 ISO14443A passive target(s) found:
ISO/IEC 14443A (106 kbps) target:
    ATQA (SENS_RES): 00  04
       UID (NFCID1): 4a  f1  5e  da
      SAK (SEL_RES): 08

可以看到我的门禁卡的 SAK 是 08，是可以被破解复制的，如果为 20 的话，可能下面的方案就不太适合了

读取并复制卡信息

1. 先使用 mfoc 工具进行破解。

mfoc(Mifare Classic Offline Cracker)是一款基于 nested authentication 验证漏洞破解含有默认 key 的 M1 卡的开源软件，mfoc 软件自带了一些常用的默认 key 来进行破解，用户也可以通过参数添加自定义的 key。

安装命令 brew install mfoc 安装后执行命令

sudo mfoc -O bak.mfd

ISO/IEC 14443A (106 kbps) target:
    ATQA (SENS_RES): 00  04
* UID size: single
* bit frame anticollision supported
       UID (NFCID1): 4a  f1  5e  da
      SAK (SEL_RES): 08
* Not compliant with ISO/IEC 14443-4
* Not compliant with ISO/IEC 18092

Fingerprinting based on MIFARE type Identification Procedure:
* MIFARE Classic 1K
* MIFARE Plus (4 Byte UID or 4 Byte RID) 2K, Security level 1
* SmartMX with MIFARE 1K emulation
Other possible matches based on ATQA & SAK values:

Try to authenticate to all sectors with default keys...
Symbols: '.' no key found, '/' A key found, '\' B key found, 'x' both keys found
[Key: ffffffffffff] -> [................]
[Key: a0a1a2a3a4a5] -> [................]
[Key: d3f7d3f7d3f7] -> [................]
[Key: 000000000000] -> [................]
[Key: b0b1b2b3b4b5] -> [................]
[Key: 4d3a99c351dd] -> [................]
[Key: 1a982c7e459a] -> [................]
[Key: aabbccddeeff] -> [................]
[Key: 714c5c886e97] -> [................]
[Key: 587ee5f9350f] -> [................]
[Key: a0478cc39091] -> [................]
[Key: 533cb6c723f6] -> [................]
[Key: 8fd0a4f256e9] -> [................]
...

如果最后运行没有报错，那么 mfoc 就已经成功备份出门禁的数据 bak.mfd 了，使用写卡命令直接将备份文件写入新卡即可。

如果 mfoc 报错，说明你的门禁卡并没有使用这些默认 key，就需要使用 mfcuk 进行尝试破解了。

2. 使用 mcuk 破解

mfcuk (MiFare Classic Universal toolKit) 是一款基于 dackside 攻击原理破解全加密 M1 卡的开源软件，mfcuk 通过算法的漏洞破解出第一个 key，如果某个扇区的 key 被破解出来，就可以再使用 mfoc 工具使用 nested authentication 攻击破解其他扇区的密码。
安装命令 brew install mfcuk安装后执行命令

sudo mfcuk -C -R 0:A -s 250 -S 250 -v 3

破解过程很久，运气好的据说半个小时就能破解出第一个 key 控制台如下显示

INFO: block 4 recovered KEY: 3c5d7f1e

得到第一个 key 之后，我就可以跟退出 mfcuk ，通过获取到的 key，使用 mfoc 进行再次解密

sudo mfoc -k 3c5d7f1e -O bak.mfd

如果 mfcuk 破解的第一个 key 是正确的，mfoc 命令一般会在几分钟之内完成整个 M1 卡所有扇区的破解，最终将成功生成导出备份文件。

写入新卡

使用 libnfc 软件包自带的 nfc-mfclassic 命令进行写卡

nfc-mfclassic 的相关参数如下

nfc-mfclassic --help
Usage: nfc-mfclassic f|r|R|w|W a|b u|U<01ab23cd> <dump.mfd> [<keys.mfd> [f]]
  f|r|R|w|W     - Perform format (f) or read from (r) or unlocked read from (R) or write to (w) or unlocked write to (W) card
                  *** format will reset all keys to FFFFFFFFFFFF and all data to 00 and all ACLs to default
                  *** unlocked read does not require authentication and will reveal A and B keys
                  *** note that unlocked write will attempt to overwrite block 0 including UID
                  *** unlocking only works with special Mifare 1K cards (Chinese clones)
  a|A|b|B       - Use A or B keys for action; Halt on errors (a|b) or tolerate errors (A|B)
  u|U           - Use any (u) uid or supply a uid specifically as U01ab23cd.
  <dump.mfd>    - MiFare Dump (MFD) used to write (card to MFD) or (MFD to card)
  <keys.mfd>    - MiFare Dump (MFD) that contain the keys (optional)
  f             - Force using the keyfile even if UID does not match (optional)
Examples:

  Read card to file, using key A:

    nfc-mfclassic r a u mycard.mfd

  Write file to blank card, using key A:

    nfc-mfclassic w a u mycard.mfd

  Write new data and/or keys to previously written card, using key A:

    nfc-mfclassic w a u newdata.mfd mycard.mfd

  Format/wipe card (note two passes required to ensure writes for all ACL cases):

    nfc-mfclassic f A u dummy.mfd keyfile.mfd f
    nfc-mfclassic f B u dummy.mfd keyfile.mfd f

  Read card to file, using key A and uid 0x01 0xab 0x23 0xcd:

    nfc-mfclassic r a U01ab23cd mycard.mfd

因为我购买的是 cuid 空白卡，所以我使用的写卡命令为nfc-mfclassic w a u bak.mfd 然后就可以去试试新复制的卡了。

最后

可以看到使用的工具都是利用了m1卡的漏洞进行破解，所以一张门禁卡能不能复制就要看这个门禁卡有没有漏洞，如果是最近一两年才新加装的门禁系统，估计已经没有这些漏洞可以利用了。

参考文献
https://www.jianshu.com/p/7a0bf015e06c

https://zohead.com/archives/copy-mifare-classic/

https://www.jianshu.com/p/fd6cee57b31d