小米手环3入手不到半年就出了个4,亏爆,最近小区换了新门禁还得办张卡 心态爆炸。 关灯用手机、开门用密码的我怎么可能揣个门卡!所有模拟门卡搞!

0x01 准备

清单:

小东西还挺别致


pn352.jpg

小米检查到原卡被加密,则无法模拟。自制带有原卡0扇区0块UID空白卡,是可以被模拟的。最后用pn352M1T将原卡其他扇区数据写入手环,即可完成模拟。

nfc.jpg

0x02 解密原卡


m1t-dec.jpg

如果想导出dump格式文件,在软件设置里不勾选自动以UID名保存文件
此处第13扇区加密,导出文件odata.dump

0x03 模拟空白卡

uid空白卡全格并导出

模拟前需要一张空白卡,将手中的UID卡放在pn352上,并用M1T做全格导出dump文件:uidb.dump。空白卡A/B的KEY均为默认的FFFFFFFFFFFFFF

高级操作模式->UID/UFUID卡操作->UID全格

复制原卡0扇区0块数据至空白卡0扇区0块

dummtxt格式互转用IC客栈M1卡格式转换工具

odata.dump==转换==>odata.txt--0扇区0块数据-->uidb.txt==转换==>uidb.dump


odata-uidb.png

手机模拟

手机模拟未加密空白卡


simulate.jpg

0x04 写入加密数据

最后写入非0扇区0块数据,即后63个数据块

高级操作模式->普通卡操作->写M1->选择odata.dump->取消
或者 复制卡模式->写入新卡->写入普通卡->选择odata.dump->取消

A&Q&TIP

nfc_initiator_transceive_bytes: Mifare Authentication Failed


pn352-error.png

可能小米手环偏离pn352设备,将小米手环显示屏朝上放正即可

门禁不校验厂商号

如果门禁不校验厂商号,可替换复制0扇区0块步骤为一下步骤:

高级操作模式->UID/UFUID卡操作->UID写号

更有甚者 连加密数据都不用写入