NFC破解水卡实战演练之技术交流

本人仅提供技术交流。严禁讲技术用于非法，技术无罪。一切非法用途与本人无关。

手机需要NFC功能，如果没有请购买下面设备
本人使用手机为小米6

要用到的东西 MCT 还有你精确的大脑
MCT下载链接:仅提供给永久会员
本帖方法只适用于加密简单的一些水卡，加密较强的可能要用到的东西:acr122 pm3 小黑 pn532等IC卡读写器

以金诚卡(水卡)为例。

第一步:确定卡片中余额，下载MCT，安装打开

第二步:讲需要破解的IC卡(MI卡)贴到手机背面NFC速度，开始读卡。

因为我手里的卡没有加密，所以直接全部读取，会发现0-15扇区，共16个扇区。其中0扇区只读不可写，为卡片序列号。

第三步，寻找存储数据的扇区，一般全为0的扇区为空扇区，不用理会，寻找有其他数据的扇区。金诚卡只有12扇区有数据，很好我们已经有找到了。

这张卡的余额已经读取确定了，为84.15元。怎么计算呢。首先给金额乘再转换为16进制就可以了，16进制为 20DF 。对应12扇区0块的第九位，第十位，第十一位，第十二位数据，很好，我们再去刷一下这个卡，改变一下数据再看看数据有什么变动。
…………………………………………………………

好的大家注意看图二和图三，12扇区0块的第一位到第八位，没有任何数据变化。上面提到的金额位发生了变化，十三位，十四位也发生了变化。首先金额大家可以通过我上面提到的方法推一下金额和数据是否对应。

那么说到这里，把金额乘100倍转换为16进制输入进去不就可以用了呗，这么想就错了。

卡片不仅有金额，还有固定值，校验码。金额和校验码对应的时候才可以正常使用，只修改金额，不修改校验码，饮水机是无法正确读取你的卡片的。

那么，计算校验值的方法是什么呢？

开篇就提到了校验，一般卡片的校验都是不同的，大家得自己思考。多动脑筋。

近乎八成的校验方式都是异或校验，当然还有的卡片是非值校验，和校验这几种。

继续以金诚卡(水卡)为例子:
可以看到，刷了2次卡片，卡片12扇区第0块，第一位到第八位没有任何变化，第9位到第12位已经确定为金额。13位和14位发生了变化，还未知代表什么，不过我们讲到现在，基本已经可以确定，第一位到第八位为固定值，第九位到第十二位为金额，十三位和十四位为校验码。接下来怎么做？异或校验呗。

这里就不提供进制转换在线工具和异或校验在线计算网站链接:需要的自行百度，

言归正传，已经确定固定值和金额，直接异或试试

第一组数据:
01 xor 20 xor 67 xor 00 xor 20 xor DF
得出数据为B9，注意看截图，和十三位十四位数据相同。ok我们再算一下第二组数据。
第二组数据:
01 xor 20 xor 67 xor 00 xor 20 xor 75
得出数据为13

ok这张卡咱们已经破解了，接着就是修改金额

固定值不变，金额修改为四位十六进制，因为四位十六进制最大为FFFF，我们先计算校验码修改一下试试。
计算校验码:
01 xor 20 xor 67 xor 00 xor FF xor FF
得出结果为46，其余的数据不变。咱们来试试
最终出的数据为这个:
01206700FFFF46F1FFFFFFFFFFFFFFFF
我们把算出来的数据写进去试试

第四步:写卡
因为我的卡片金额在12扇区0块，所以把我们算出来的数据写入在12扇区，0块

已经写入成功(见图四)
好的我们现在去试试金额有没有变化

可以看到我们已经成功修改了卡片金额了