Le transmetteur utilisé dans la clef zip est un PCF7931AS, un transpondeur contactless qui date un peu puisqu'il a été mis au point en 1994.
Ici vous trouverez le Datasheet du PCF7930/31/35 : Datasheet
Ici l'organisation simplifiée mais bien faite de la mémoire du PCF7931 : Organisation Mémoire
Et ici toute la documentation relative aux machines et les logiciels utilisés par les gérants : ZIP/MIZIP
Pour être capable de lire et d’écrire sur ce transpondeur, il faut se procurer un GAMBIT
Les drivers du Gambit pour windows et linux se téléchargent ici : Drivers
Le logiciel de lecture/écriture est fournit avec le Gambit sur un CD. Sinon on le trouve ici : Lociciel
Ensuite pour se procurer une clef le seul moyen est d'en acheter une dans une machine ou de la demander au responsable des machines quand il vient recharger, ou au auprès de votre CE... Elle coute 4€ en moyenne, sans crédit.
1) A propos du PCF9731 :
-Il communique à une fréquence de 125 KHz
-Il s'organise en 8 blocks comportant chacun 16 octets
-Il possède une fonction mot de passe de 7 octets qui permet de le protéger en écriture, mais pas en lecture
-Il possède une fonction qui permet de protéger un block en écriture à jamais même avec le bon mot de passe
2) Contenu et organisation :
Il contient :
-Un mot de passe de 7 octets définit par le propriétaire, que la machine envoie à la clef pour avoir le droit d'écrire dessus
-Les informations ou identifiants du propriétaire, de la clef, et d’éventuels codes de réduction.
Ces informations sont vérifiées par la machine dès l'introduction de la clef, si l'identifiant du propriétaire n'est pas le même ou si la clef n'existe pas dans le répertoire de la machine, la clef est refusée.
-Le crédit disponible dans la clef, et le crédit avant le dernier achat
Plus imagée voila l'organisation du transpondeur : (Certain octets sont volontairement masqués par "..")
3) Comment ça marche??
Avec ça à coté de vous vous devriez comprendre rapidement : Organisation Mémoire
Le bloc 0 (donc la première ligne) contient :
- De 0 à 6 l'emplacement du mot de passe remplacé par des 0 car PAC est activé (nous y reviendrons)
- L'octet 7 correspond au PAC c'est a dire active ou désactive la fonction mot de passe selon que sa valeur soit respectivement de 01 ou 00, ici la valeur est 01 donc la fonction mot de passe est activée.
- L'octet 8 correspond à la protection définitive d'un ou plusieurs blocs (BWP). pour comprendre il faut passer en binaire :
Il est constitué de 8 bits : 0000 0000 et chaque bit représente un bloc mais dans le sens inverse {0000 0000 correspond au numéros de bloc 7654 3210} si celui ci vaut 0000 1000 alors le bloc 3 est protégé en écriture par exemple.
Ici l'octet 8 vaut 04 (en hexadécimal) donc en binaire : 0000 0100 donc le bloc 2 est protégé en écriture.
- les autres octets de ce bloc ne sont pas utilisés.
Le bloc 1 : (deuxième ligne) contient en théorie le nombre d'utilisations de la clef et s’incrémente à chaque passage.
Et ses octets 15 et 16 qui servent à indiquer le premier et le dernier bloc lu, RFB (pour read first block) et RLB (read last block). Ici RFB = 00 donc block 0, et RLB = 03 donc block 3 (le reste des blocs n'est donc pas lu)
Le bloc 2 contient des informations relatives au propriétaire, l'identifiant de la clef, et les codes de réduction.
Le bloc 3 contient le crédit disponible sur la clef :
L'ancien crédit est écrit deux fois de suite en commençant par un octet 55 et séparé par un octet AA du crédit actuel qui se répète une fois lui aussi.
Dans l'exemple on identifie facilement ces deux valeurs :
Ancien crédit : 00 B4 (en hexadécimal) soit en décimal : 180 donc 1,80€
Crédit actuel : 00 8C , soit en décimal : 140 donc 1,40 €
J'ai donc prit en dernier un café a 40 centimes...
Les blocs 4, 5, 6, et 7 ne sont que la répétition de ces 4 premiers blocs.
4) Oui mais comment ça marche?
Sur une clef normale :
Lorsqu'elle est insérée dans la machine, celle-ci va d'abord être lue a ce moment la le transpondeur est à l'état basal : en READ MODE. D'abord elle vérifie les informations d'identification de la clef (block 2), pour voir si elle la connait, si elle ne reconnait pas les identifiants la clef n'est pas reconnue.
Ensuite elle va lire le Block 3 pour voire le crédit et l'afficher sur l'écran.
Ensuite seulement, la machine va vouloir faire passer la puce en PROGRAM MODE pour pouvoir écrire le nouveau crédit dans le block 3, pour ce faire elle envoie un signal spécial qui lui demande de passer en PROGRAM MODE suivit du mot de passe, si la clef reconnait ce mot de passe alors elle accepte de passer en PROGRAM MODE et entre dans un cycle qui se répète en attendant soit d'être écrite soit que la machine lui envoie un signal spécial qui la remet en READ MODE.
Toutes ces opérations se passent en quelques secondes et si tout se passe correctement, alors la machine vous délivre le produit.
5) Possibilités de crackage de la clef :
Il y a deux techniques à ma connaissance pour modifier le crédit dans la clef, la première à été testée et approuvée (mais un poil compliquée :p), et la deuxième que j'ai imaginée est en cours de réalisation mais n'a pas encore fait ses preuves.
Rappelons qu'écrire sur une clef d'origine est impossible, a moins d'avoir le fameux mot de passe (qui fait 56 bits donc 2^56 possibilités je vous laisse faire le calcul...), la première technique consiste donc a se procurer le mot de passe.
Pour cela il faut sniffer ce mot de passe directement à la source c'est a dire sur la machine.
La technique consiste à prendre une clef d'origine, a limer le bout pour pouvoir entourer du fil de cuivre autour et relier les deux bornes à un oscilloscope réglé sur 125KHz, ainsi la machine va lire la clef, puis envoyer le mot de passe qui s'affichera sous la forme d'une onde à l'oscillo:
Ainsi on peut lire en binaire les 56 bits du password.
Remarque : cette technique marche mais je ne l'ai pas essayée et si quelqu'un de plus érudit veut corriger certaines choses, ou même écrire un article entier sur comment la mettre en œuvre, ne pas hésiter à le faire je le publierai.
La deuxième technique je suis en train de la tester, ce n'est pas sur que ça marche mais la théorie m'a l'air assez carrée. voila le début de la réflexion, je compléterai si ça fonctionne...
Tout d'abord la machine ne peut pas vérifier que la clef a le bon password, car sur les clefs, le PAC est activé, donc dans tout les cas quand la machine lit la clef les 7 premiers octets sont remplacés par des 0.
Ensuite si un transpondeur a un PAC désactivé et aucun password et que la machine lui demande d'entrer en PROGRAM MODE et envoi son password, celui ci est ignoré et le transpondeur entre en PROGRAM MODE (comme si de rien était) :
Donc en prenant un transpondeur vierge, en désactivant le PAC en mettant le password a 0 et en recopiant les données d'identification du block 2, (sans le protéger tant qu'a faire BWP=00) et en mettant le crédit désiré en hexadécimal, la clef devrait agir comme une vrai clef.
Le seul problème me direz vous c'est si la machine vérifie que le PAC est bien activé, or ce n'est écrit nul-part qu'elle s'en préoccupe :
Par "code of the key" ils sous-entendent le contenu du Block 2 (cf. le document complet Mizip)
Voila, cet article sera complété régulièrement en fonction des avancés (et les fautes d'orthographe corrigées), et vous permettra d'avoir tout les outils nécessaires pour trouver des failles un peu partout et pourquoi pas de développer de nouvelles techniques.
Have fun!
RogPi.
01/02/2018
Je rajoute un exemple de sniffer que j'avait réalisé a l'époque et qui fonctionnait bien (fil de cuivre et mine de stylo bic à insérer dans la clef avec la puce) ainsi que la façon de déchiffrer le password dans Audacity ;) :
Si vous en voulez plus allez voir le site de David : http://maxofun.monsite-orange.fr qui veut carrément brutforcer la clef et qui imprime sa clef en 3D!
Pour info c'est dit en commentaire mais la technique 2 avec le PAC désactivé ne fonctionne pas effectivement je ne sais pas pourquoi!
Have fun !
RogPi.
Super article complet et clair
RépondreSupprimerMerci!
SupprimerJ'en ai eu pour 35€.
RépondreSupprimerDécodé le mdp est beaucoup plus simple et moins cher... j'dis ça, j'dis rien :D
Oui c'est plus simple mais c'est quand même pas inintéressant de chercher d'autre moyen d'y arriver :)
SupprimerAprès je veux bien que tu m'expliques comment tu as fait pour avoir un lecteur/writer de PCF et un oscilloscope pour 35 euros!!
Un lecteur/writer de PCF7931 à 35 € se trouve un peu partout sur les sites de contrefaçon chinois. Et j'ai pas eu besoin d'un oscilloscope... et puis c'est pas très discret devant la machine à café. Suffit de savoir qu'est-ce qu'on à sur la main qui pourrait enregistrer les variations de signal analogique...
SupprimerDonner la réponse comme ça, ça serait un peu trop facile... alors va falloir remettre la tête dans les bouquins des principes de la techno RFID :)
C'est un peu facile de dire ça sans développer, et sans vouloir mettre en doute tes compétences en électronique, capter un signal électrique n'a rien avoir avec la technologie RFID, et le signal a enregistrer est numérique (MDA) et pas analogique.
SupprimerEnsuite l'appareil utilisé pour visualiser et enregistrer un signal électrique (analogique ou numérique) est un oscilloscope (sous quelque formes qu'il soit), donc si tu as trouver un nouveau moyen (gratuit) de le faire, je comprend que tu ne veuilles pas partager, car tu tiens la un objet révolutionnaire.
J'ajoute pour les gens qui achèteront un GAMBIT a 35 euros en chine comme je l'ai fait, que s'ajouteront automatiquement des frais de transporteur/douane d'une vingtaine d'euros et que ces frais se payent à la réception du colis (les frais de transporteur comme DHL s'appliquent toujours, la douane ça peut passer mais c'est rare). Donc compter plutôt 60 euros au total.
Ps : Je ne dis pas ça méchamment, mais je n'aime pas qu'on me parle comme à un amateur avec des points de suspension. Le but de ce genre de discussion est de partager ses connaissances pour permettre aux gens de s’intéresser et d'avoir des résultats.
Donc les "je sais faire mais je peux pas dire comment, ça serait un peu trop facile..." je ne vois pas l’intérêt.
Ps : J'ai trouver un moyen de changer les tickets de caisse en billets de 5 euros, mais vous donner la réponse comme ça serait un peu trop facile... alors va falloir chercher (longtemps).
Haha sans rancune ;)
Je pense avoir de très bonne connaissance en électronique.
SupprimerCapter un signal électrique venant d'un champ magnétique peuvent être très facilement analysé à l'aide d'un oscilloscope ou d'un autre équipement électronique que nous avons tous sous notre main. Ce n'est pas un objet révolutionnaire, quoique, Steve Jobs le disait bien ^^.
Gambit s'achete pour 35€ frais de port compris et sans aucune douane (comme toujours). Si tu as pris un transporteur comme DHL, c'est que tu n'as pas une grande connaissance sur les transporteur et les achats sur internet provenant des pays extérieur à l'UE.
Si tu as autant de connaissance en électronique que moi, tu devrais facilement trouver comment capter le mdp et le déchiffrer.
PS : J'ai du trouver ma méthode tout seul, comme un grand, alors pourquoi pas vous ? Depuis le début je vous balance plein d'indice dans mes messages. Ce que moi, je n'avais pas lorsque je l'ai fait.
PS2 : Dommage tu fais de la désinformation a propos des achats asiatiques, ainsi que oscilloscope révolutionnaire. Je continuerais de mettre des indices si je vois que des personnes cherche.
Comme disait Franck.G => Un mars, ça se mérite !
Tu parles de fabriquer son propre mini-oscilloscope (c'est vrai que c'est pas sorcier de trouver un montage correct sur le net), de le relier à son smartphone via USB et de télécharger une des nombreuses application oscilloscope qui existe sur le marché. Pour moi ça reste la même technique que Franck.G donc pas la peine de couvrir tout ça de mystère.
SupprimerOui je n'ai que peu d’expérience en matière d'achat sur les site chinois, mais la dernière fois que j'ai commandé quelque chose la bas et que je n'ai pas pris DHL j'ai reçu mon colis en 45 jours contre 10 jours la. Mais de la a dire que je fais de la désinformation.. je partage juste mon expérience, ce que tu as apparemment beaucoup de mal a faire.
Je ne suis pas la pour un mars.
vous savez tres bien tous les deux qu'il faut fabriquer un sniffer avec 4 composants électroniques,
RépondreSupprimerun jack micro un téléphone android une apli d'enregistrement et decoder le password dans audacity.
qué gambit à 60 euros et qué oscilloscope.
En effet ça marche en faisant un récepteur radio avec une bobine une résistance et un condensateur, je viens de tester. J'essaierai de faire un tuto quand j'aurais le temps.
RépondreSupprimerFinalement :)
RépondreSupprimerMerci Yellow K, au moin tu permet de faire avancé les personnes comme moi qui non pas forcement le même niveau.
RépondreSupprimeril est évident qu'on ne partage pas tous le même niveau à chaque chose.
RépondreSupprimerni la même compréhension
ni le même intérêt aux choses.
ni l'information d'ailleurs :)
par contre, on peut partager la même cellule...
https://translate.google.fr/translate?sl=it&tl=fr&js=y&prev=_t&hl=fr&ie=UTF-8&u=http%3A%2F%2Fwww.lanciano24.it%2F%3Fp%3D7964&edit-text=
la traduction est vraiment pourrave mais je crois qu'en faisant un petit effort vous comprendrez tous de quoi il s'agit.
la finalité de tout cela pour chacun d'entre nous n'est peut etre pas l'argent ou la gloire
ou le plaisir d'offrir le café a la jolie blonde du 3eme.
personelement, j'ai arreté, j'ai pas envie ni de plonger ni de me faire casser les mains a coup de barre (pas chocolatée) car il faut se rendre a l'evidence, ça craint un max.
je ne sais pas si tu dois faire le tuto yellow k. perso je n'y voit aucuns inconvénient. je me suis fait chier et j'ai aussi ete aidé.
fabriquer cette bidouille electronique, la mettre en oeuvre et comprendre le decodage ça faisait
longtemps que je ne m'etais pas autant ammusé.
a bientot all..
Quelqu'un aurait un lien pour acheter une clée comme celle-ci ? Impossible de trouver et j'ai fait pas mal de sites chinois ! Merci d'avance.
RépondreSupprimerBonjour,
RépondreSupprimerje travailles avec mon père dans la distribution automatique. depuis 30 ans, mon père bosses entre 10 et 12 heures par jours, comme moi aujourd'hui, et y compris les week end.
diriger une PME, c'est aussi beaucoup de stress, des responsabilités, et finalement pas tant de lauriers que ça.
quand vous piratez une clef ZIP, vous nous volez, et vous nous nuisez, sans que nous vous ayons fait quoi que ce soit.
pensez-y
A 1€ la barre de friandise qui coûte 10 cts, c'est pas étonnant que des morts de faim cherchent à craquer le paiement. Puisque ces machines sont faite pour quasi blesser les voleurs en coinçant littéralement leurs mains ...
RépondreSupprimeril y a des assurence pour sa lol aret ton baratin
RépondreSupprimerc pas toi qui fabrique les machines tu les lou ou achete a une boit americain
RépondreSupprimerSalut a tous. Je fais le test lundi dune copie de cle sans le pac et bwp pour tester. Le tranpondeur utilisé est un pcf7935as id44 que jai effacé car pass en clair et sur lequel jai ecrit ensuite avec un pass a 00 00 00 00 00 00 00. Lecriture cest bien passée. Jai hate de tester. Si le pass se mets en clair ou si il narrive pas a ecrire car pass a 00... on verra bien.
RépondreSupprimerCe commentaire a été supprimé par l'auteur.
RépondreSupprimerÇa ne fonctionne pas. Blocks sauf ceux de pac identiques. La clenest pas reconnue... certainement la shadow...
RépondreSupprimerPar contre jai remarqué un fonctionnement etrange. Lors de 5 insertions rapides concecutives. La cle est flaguee par le distributeur et clignote rouge ensuite.
Donc pas le choix. Faut cracker le code jsuis en train decrire du code pour utiliser le gambit et le bruteforcer... sa sera moins long kavec le gambit pour chaque occurence. Au bout de quelques heures ça devrait tomber.
Je reviens aux news, apres un apprentissage des trames qui partaient du soft gambit vers le matos, j'ai pu déterminer le protocole pour écrire.
RépondreSupprimerJ'ai développé un soft de bruteforce qui tourne maintenant depuis hier soir. 34000 combinaisons de password testées à l'heure où j'écris.
je désespère un peu car je ne sais pas si les proprios se sont servis de numériques uniquement ou d'hexa...
Pour l'instant je fais du random... ce qui pour moi n'est pas le mieux.
je vais tester sur un transpondeur que jai en stock qui nest pas PAC et dont je connais le passe afin de valider le fonctionnement.
C'est long mais si ça fonctionne ce sera plus discret que de se pointer devant la machine avec du matos pas tres catholique...
Je suis à 57 000 combinaisons testées et tjrs pas de pass trouvé, en meme temps il y a 1 chance sur 70 110 209 207 109 375 (255^7)....
RépondreSupprimerMais je ne désespère pas.
Si je ne trouve pas d'ici demain j'essayerais de réduire le temps de traitement en augmentant la vitesse du Virtual port com, mais je ne suis pas sure que le gambit peut monter.
Plus de 500 000 combinaisons testees sans resultat. Jai pourtant testé sur une cle vierge que jai mis en pac avec un pass caché et je lai injecté au bout de 100 combinaisons et ça a marché. Donc si le random ne fonctionne pas certainement que cela veut dire qui y a une logique.
RépondreSupprimerHello, alors toujours pas de résultat ? Tiens nous au courant :)
RépondreSupprimerbonjour
RépondreSupprimeravec quel logiciel analysez vous les communications entre le programmateur et le logiciel du gambit ?
pensez vous pouvoir developper un logiciel similaire fonctionnant sur
Windows 10 x64. le logiciel original se lance mais ne s'affiche pas.
merci beaucoup.
Toujours pas de combinaisons. Je pense avoir dépassé les 1000 000 de combinaisons. Pour chaque test ça me prend un peut moins dune seconde... et jai fait plusieurs modifs dans mon code avec des arrets.
SupprimerPour le logiciel de sniffage de la communication jai utilisé serial port monitor et un second device monitor studio. Tous les 2 payants apres 14jrs. Une fois le dialogue etabli jai fais le code vb.net en consequence. Je suis reparti sur des combinaisons numeriques depuis ce matin car lautre jour jai eu un retour de trame differente mais mon programme netant pas encore fignolé je nai pas vu la combinaison incriminée... le con... donc la jai relancé des fois que je retomberais sur un resultat different. Pour le gambit il marche sur 7 mais pour les autres je ne sais pas. Je ne me sert pas du soft pour tester mes combinaisons. Juste du programmeur et de mon appli vb.net.
Je ne peux pas poster d'image du soft que j'ai developpé. je vais voir pour diffuser sur une page web des copies d'écran du soft.
RépondreSupprimerUne fois au point je pense le partager... avec un ptit don pas mechant genre 5 ou 10euros. mais pour ça il faut que je change certaines variables que j'ai mis en dure pour l'instant. il faudra selectionner le port com virtuel du gambit, selectionner parmis plusieurs algos et lancer. un fois le pass trouvé il l'affichera en clair. Je verrais si je fais un addon pour lire et ajouter des sous en auto.
http://hpics.li/13b5de8
RépondreSupprimerhello, bravo pour ton travail :)
RépondreSupprimersi tu réalises un petit tuto avec les outils en prérequis, va pour le don !
merci
RépondreSupprimerpour l'instant je n'ai pas reussi à faire grand chose à part simuler et decrypter les trames utilisées par le gambit et son soft.
Rien de méchant en soit.
pour les outils un framework dot net 4.0 un pc sous windows 7 et un gambit.
Je pofinerais l'interface pour quelque chose de plus convivial dés que ça aura porté ses fruits.
Je pense me pencher sur la diminution du temps de cycle de chaque occurence.
J'avais bien pensé racheter un gambit et mettre mes 2 cles en meme temps mais 2 gmabit à 35 euros pour peut etre ne rien trouver...
Et il faut que je développe quelques algos de logiques combinatoires (ex series de nombres ou lettres hexa, des suites implantées aléatoirement...)
je pense qu'ils preferent garder une logique pour ne pas trop galerer quand ils rajoutent ou changent un distributeur. j'ai commencé mais pas facile de choisir quand on ne sait pas vers où aller...lol
bonjour a tous.
RépondreSupprimermerci beaucoup david pour votre reponse.
il faudrait que je regarde pour peut etre envisager d'ecrire un programme fonctionnant sur Windows 10.
a titre indicatif david, il n'y a pas tant de password que ça qui 'tournent' le principe etant plutôt l'authentification des cles sur les machines. par exemple, même si le mot de passe est le même sur toute une region, les clés non authetifiées ne fonctionnent pas d'une machine a l'autre.
je ne voudrais pas vous forcer la main au niveau ''remuneration"
mais a mon avis, plutôt que de devolopper uniquement un logiciel de force brute, pensez en doublette a l'ecriture eventuelle d'un soft genre password, montant et modify fonctionnant sous windows10 x64.
il y aurait de la clientelle, a titre indicatif, j'ai une machine virtuelle avec xp pour programmer ma clé et sincerment, ça me gave...
aussi, si vous pouviez nous dire quels logiciels installer et quelles sources pour communiquer avec le gambit, ce serait grandement apprecié. merci.
Je ne suis pas d'accord avec vous,
RépondreSupprimerDans la ville ou je suis, plusieurs fournisseurs utilisent ce systeme.
Pour avoir testé pour au moins 1 fournisseur, toutes les cles de ma société ont le meme ID.... En gros pas de blacklist ou autre. Mais ce n'est en effet pas le cas partout.
Par contre ma cle fonctionne dans une autre société qui a le meme fournisseur de boissons... Donc le password est grandement utile.
Concernant le dev je compilerais une version windows 10 32 et 64 mais pour l'instant je n'ai pas dans l'idée de fournir les sources de mon code.
Pour le gambit il suffit de 5 min et de google pour trouver le soft qui va avec. pour le programmateur aliexpress peut le trouver à env 32 euros fdpin.
Cdt
RépondreSupprimerbonjour
j'ai pourtant le cas de ce fournisseur qui programme ses machines avec le même password et d'une machine sur l'autre dans le même édifice ça ne fonctionne pas. il faut la bonne cle pourtant programmée avec le meme password pour se servir.
si ce n'est pas sur une white list de numero de serie, comment est ce possible ?
concernant le logiciel que vous comptez crer, je n'ai pas pensé à vous sources, c'etait des sources en general... voire de l'entraide eventuelle et pas du pompage de vos heures de labeur. je n'y connais rien en programmation, et c'etait deja miraculeux de voir passer les trames d'autenthifications et du changement de data dans le monitoring du port serie et ce grace à vous, bluffant :) j'espere reussir a envoyer une trame unique de changement de data a certaines addresses dans un terminal ou un truc du genre....
ce qui m'ammene a dire que, j'ai un gambit et le soft pourrave qui ne fonctionne pas sous W10. pour plus cher d'ailleurs, 35 euros, pas 32 je me suis fait avoir ^^...
bonjour a tous.
RépondreSupprimer@david : je sollicite votre aide pour quelque chose que je ne comprends pas. grace au logiciel serial port monitor, j'arrive a regarder ce qu'il se passe entre le gambit et son logiciel. je garde de coté les logs et les commandes que je vois passer sans problemes.
par contre et c'est la ma question, quand j'utilise les memes commandes dans un terminal ou dans serial port monitor, rien ne se passe, en fait ca envoit des commandes et je n'ai aucuns retour.
juste des commandes writes. je dois avouer ne pas comprendre ce qu'il se passe. pouvez vous m'aiguiller.
merci
En faite pour votre premiere reponse je pense qu'il modifie l'ID de la cle du coup suivant les etages les id etant differents les cles ne sont pas reconnues.
SupprimerConcernant votre seconde reponse en faite le gambit utilise les etats dtr et rts en plus des tx rx pour communiquer. Moi aussi jai eu la meme reflection au debut.
bonsoir
RépondreSupprimermerci beaucoup david de votre reponse, je me sens moins seul:)
je doute pouvoir comprendre plus loin que rx tx...
peut on determiner les commande dtr et rst qu'il faut envoyer entre les write et read facilement ?
pensez vous qu'avec des logiciels de type terminal performants
avec le contrôle dts rst que l'on puisse programmer le gambit ?
je ne sais meme pas vers qui me tourner pour ne pas trop vous saouler avec mes questions.
en tout cas merci.
Bonjour,
SupprimerLoin de moi l'idée devous demoraliser. Mais je travail en info indus, avec une certaine experience du port serie. Un bts de developpeur. Et il ma fallut 2 mois pour comprendre leur façon de dialoguer.... en plus de ces dtr et rts le soft envoi un crc en fin de trame calculé en fonction de la trame. Et le gambit repond en conséquence aveccette cle recalculee... je ne sais pas d'ou vous partez et ou vous souhaitez aller. Vous etes peut etre ingé ou autre mais quel est le but de votre dev? Si cest juste pour dialoguer avec le gambit cest le plus dure. Une fois fait mon taf est restreint a la generation de combinaisons de passwords...
bonsoir.
Supprimernon, je ne travaille pas dans l'informatique, ni dans l’ingénierie...
je n'ai avoir avec tout ça qu'une sorte de pari que c'etait faisable.
j'ai donc fabriqué un sniffer et mouliné le resultat dans audacity.
mon ordinateur est sous windows 10 x64 et comme je l'ai precisé, le logiciel gambit.exe ne fonctionne plus.
j'utilise donc une machine virtuelle avec xp pour programmer.
d'ou je vien,t de nulle part a part vous avoir ecouté a propos du monitoring du port serie. ou je veux aller, :
balancer une trame unique dans un terminal pour un fonctionnement toutes plateformes, linux compris(non obligatoire)
il va m'etre impossible de programmer un logiciel.
ou peut etre utiliser win explorer 4.6 pour faire un script java ou vb(improbable aussi)
pour finir, je "voudrais" le faire moi meme...
Je suis désolé si jai pu paraitre offenssant ce netait pas le but.
SupprimerJe souhaitais simplement savoir sur quelle direction vous alliez.
Si vous le souhaitez je peux vous compiler un exe qui envoi tjrs la meme trame comprehensible au gambit. Ça vous permettra de continuer vos tests.
En parallele je travail aussi dans cet axe. Jai recree la cle en 3d avec openscad et ma prusa i3. Sauf que jai fait en sorte de pouvoir y loger une bobine. Jai depioté un relais auto pour le cuivre émaillé et jai fais 25trs dans ma cle. Avecun petit condo de 10microF. Jai connecté le tout a mon arduino et tenté un sniffage mais pour linstant sans resultat. Javais ajouté un bouton denvoi manuel de trame dou ma proposition d'executable... je prevois de faire une page web afin de partager tout ça.
Supprimerbonjour, pas d'inquietude david.
Supprimerje ne me suis pas du tout senti offensé.
pour info, tentez d'utiliser une self plutot qu'un bobinage, perso je n'ai du ma reussite qu'à ca. j'avais eu beau le refaire 10 fois, impossible de sniffer quoique ce soit.
je rajoute que la clé que vous avez crée bien que sympathique ^^ ne fonctionnera pas. le transpondeur ne doit pas être au milieu du bobinage, mais etre devant, disons a 2 ou 3 mm du debut du bobinage.
je rajoute, testez votre sniffer dans le gambit avec un mot de passe connu pour verifier chez vous le bon fonctionnement
Supprimerdu sniffer et vous entrainer a dechiffrer un password connu dans audacity avant de faire le grand saut...
Cest ce que javais indiqué sur mon site. Cest le but. Mais je ne comprends pas trop votre histoire de self. Au niveau position et type.
SupprimerAvez vous pu tester l'executable?
Supprimerbonsoir
Supprimerune self, une inductance. ca ressemble a une résistance
niveau physique et taille. bien plus facile a mettre en œuvre que du bobinage car bien plus précis en valeur LC.
oui, j'ai testé votre soft, ca communique, c'est formidable.
c'est l'atr Gambit programmer. Noi and S-LK ?
En construction : http://maxofun.monsite-orange.fr
RépondreSupprimerSalut pas mal ta clé , par contre normalement s'est un condensateur 104 jaune qu'il faut , moi j'ai un sniffer fabriquer sur un pcb avec pic et pile , je n'arrivais pas à enregistrer car je n'avais pas fait attention qu'il fallait une prise jack 4 sortie pour le mic.
SupprimerLe bobinage n'a pas d'importance ou si les fils sont enroulés les uns sur les autres ?.
Je fais un test aujourd'hui pour essayer de sniffer voir se que ça donne.
Serait il possible d'avoir la partie du code source qui permet de communiquer avec le gambit. Ou simplement les trames que vous envoyées sur le port série.
SupprimerMerci
Bonsoir,
RépondreSupprimerSi vous avez reussi à sniffer le signal via audacity, vous avez le MDP dans ce signal, vous n'avez plus qu'à le décoder, et paff. cela fonctionne à 100% avec Gambit (même pas besoin de reprogrammer qqchose).
Votre plus grand soucis maintenant que vous l'avez sniffé via un smartphone pour enregistrer cette trame et la mettre sous audacity, la derniere chose complexe est de décoder le mot de passe qui se trouve en en-tête du signal.
J'ai regardé votre site, vous y êtes presque, et l'idée de recréer une clé en impression 3D est bonne. Mais, le transpondeur que vous avez mis dans cette clé "noir", c'est bien la même qui se trouve dans votre clé jaune (et pas une vierge que vous avez acheter sur le web ?). Car si vous l'avez acheter sur le web, elle est vierge, et donc sniffer le signal lorsque vous l'inseré la clé servira à rien.
Protocole d'échange d'information :
-> On insère la clé dans la machine
-> La machine envoi un courant électrique au transpondeur, qui réveille la puce
-> La puce commence à transmettre son mot de passe à la machine
-> La machine répond "OK puce conforme"
-> La machine demande le montant d'argent que la clé possède
-> La clé envoi son montant d'argent à la machine
Et du coup, si la clé insérée est une clé vierge, la machine reconnait que c'est pas une clé conforme et n'essaie rien avec elle. (et n’envoie aucune donnée)
En espérant vous avoir aidé, courage vous allez y arriver ;)
C'est la machine qui envoie le mdp à la clef et la clef qui dit ok conforme je passe en program mode si mes souvenirs sont bons!
SupprimerBonjour à tous,
RépondreSupprimerAgréablement surpris de voir que 3 ans après le sujet intéresse encore du monde! Super vos idées en tout cas! Ah cette sensation devant la machine en sueur avec son câble dans la manche (souvenirs...).
J'ai rajouté 2 photos de mon montage de l'époque et de la lecture du pass sur Audacity (je n'avais pas du tout calculé la fréquence LC... mais ça a marché) et David je me suis permis de mettre le lien vers ton site qui semble prometteur. j'avais arrêté les clef jaunes mais j'vais ptet m'y remettre finalement ! On passe à un autre niveau!
Bonjour,
SupprimerMoi j'ai utilisé un scanner de fréquence (haut de gamme >400€, pas un scanner de tv) avec une modulation AM, sur la fréquence de 125Khz, et la sortie je la récupère avec audacity avec des beaux signaux carrés. Toutefois j'ai accordé parfaitement l'antenne avec une spire avec un condensateur en parallèle:
Bobine L1=63µH => 130spires diam_fil=0.1mm diam une spire=15mm (bobinage carré autour de la clef re-usiné)
C1=1/((2x3.14159xfres)^2xL) pour etre a la resonnance
avec fres = 125Khz d'ou C1=25nF
Mon avis est que le brut force ne sert a rien.
2^56 combinaisons avec un check toute les 60ms => 137millions d'annee
De plus pour ceux qui utilise le GAMBIT, il faut faire attention car le mot de passe lu avec audacity (de gauche a droite) ne correspond pas au code GAMBIT. il faut prendre en compte le big/little endian par bloc de 8 octets: lecture des 0 et des 1 audacity
[hgfedcba][ponmlkji][.....][.....][.....][.....][.....]
converti
sous excel =BINHEX(abcdefgh;2) pour le code du 1er octet gambit
sous excel =BINHEX(ijklmnop;2) pour le code du 2er octet gambit
...
Ps: J'ai testé en verrouillant le secteur 3 en écriture la machine la machine refuse de donner un café.
Ps: j'ai testé la limite haute, on peut aller jusqu'à 655.35€ mais la machine verrouille (c'est configurable) typiquement dans mon entreprise ça bloque a 60€.
De plus attention a ceux qui voudraient triché les essais avec des clefs invalides sont compatibilités et logués et vous pouvez vous faire blacklister. De plus attention lorsque vous volez, lorsque le total atteindra la somme présente sur toute les clefs les gens le sauront, une alerte est levé sur le logiciel de gestion...
Ca vaut pas le coup de se faire virer pour 30 centimes...
Conclusion:
Supprimer- Amusez vous a faire du RFID.
- Le jour où votre pièce de 2€ se fait avaler sans incrément sur votre clef, vous saurez ajouter manuellement 2€ sur votre clef.
- Mais ne joué pas au petit voleur ça finira forcement par se savoir, c'est qu'une question de temps...
- Il existe aussi des clefs rouges (pour l'administration, blacklistage, promotion, café offert,...) Les dumps de ces clefs pourrait être sympa.
David : DSl pour ce long temps d'absence.
RépondreSupprimerJe n'ai plus mis à jour tout ça depuis qu'on m'a jeté la solution a la tronche.
Je ne veux pas m'étendre sur le sujet du password.
Je peux juste dire que mon bruteforce aurait marché car testé avec un password valide.
Mais que volontairement j'ai décidé de ne pas le diffuser quelques jours après l'avoir mis en ligne.
J'entends déjà les "Dégueuasse" "enfoiré"... mais pour continuer à profiter du systeme il faut savoir etre radin. Et en effet se faire virer pour du café...
Aujourd'hui je profite bien de cela mais j'ai toujours une épée au dessus de la tete.
Aujourdhui je suis tombé sur une cle mizip illisible avec le gambit. elle n'a pas la meme forme mais c'est une mizip en mifare. malheureusement j'ai abimé l'antenne en l'ouvrant. domage car ayant aussi cracké le mifare j'aurais pu compléter les infos mizip avec le mizip plus. Si vous avez des liens pour acheter des cles mizip ou mizip plus je suis preneur car imprimer des cles 3d ça prends du temps... lol par contre j'ai les fichiers 3d sous open scad de ma version (pas tout à fait la meme forme que l'officielle mais elle rentre dans les lecteurs).
Je passerais zieuter les news de temps en temps.
Pour info ...
RépondreSupprimerl y a plusieurs années, j avais eu cette procédure sur une machine avec clé jaune :
On trempait la cle dans de l eau glacée (en gengéné le distributeur d eau froide est a cote), on introduisait la clé, on mettait une pièce, par ex 50 cts, ça créditant, et rapidement on retirait et remettait la cle, qui se creditait autant de fois des 50 cts i initiaux.
Je vous laisse analyser et expliquer pourquoi ....
Bonjour,
RépondreSupprimerIntéréssé aussi par la clé jaune, je n'arrive pas a récupérer le logiciel Gambit pour lire la clé, auriez-vous un lien ?
Merci
Bonjour, voici le logiciel fourni sur le CD du lecteur de clef Gambit.
Supprimerhttps://drive.google.com/open?id=1dFjFMsR70KHJ8ElBhX1asEd2p7reH1Dw
=> Comme le dit : Anonymous1 février 2018 à 21:36 Attention aux petits malins qui voudraient voler des choses, la balance globale entrée sortie clef jaune de toute l'entreprise est calculée! Ne perdez pas votre travail pour 2 euros de café... A n'utiliser que sur ses propres clefs de test...
Ce commentaire a été supprimé par l'auteur.
RépondreSupprimerBonjour
RépondreSupprimerPossible d’avoir Le svp
Password
RépondreSupprimerBonjour,
SupprimerLe password est different dans chaque entreprise, donc non, il n'est pas possible de l'avoir sans faire les dumps et autres écoutes des trames.
Et je ne donnerais pas celui de mon entreprise, a vous de faire les manips d'enregistrement il y a vraiment toutes les infos dans ce blog.
Le mieux est de hacker votre propre clef, donc vous connaissez le mot de passe...
Bonjour,
SupprimerPour récupérer le password il faut faire la manip avec la spire autour du transpondeur ?ou y a t il un moyen plus simple de le récupérer ?
merci d'avance pour votre réponse
Et oui il n'y a pas d'autres moyens (que je connaisse) que la spire, c'est le seul moment où le password passe en clair, au moment de l'écriture sur la clef, l'écoute simple n'apporte rien, il faut donc écouter au moment d'une écriture par un appareil qui sait écrire et donc qui connait le password, sinon on ne peut que lire et rien modifier (avec le gambit).
SupprimerAprès on peut toujours essayer toutes les combinaisons mais ça prendra un temps extrêmement long c'est une fausse solution (dans mon entreprise il m'aurait fallu 12siècles, car le password n'était absolument pas dans les premiers nombres...).
Et il faut vraiment essayer de hacker son propre badge dont on connait le code avant de tester un inconnu, car le signal est parasité et si on se trompe d'un bit le password et rejeter, j'ai du enregistrer au moins 15 ecritures sur la clef pour réussir à bien lire le password.
Et donc non, c'est pas simple, c'est faire pour...
Merci pour la réponse rapide, j'ai essayé de faire une copie via un zed bull mini , en espérant copier l'intégralité de ma clé d'origine mais cela ne fonctionne pas. je vais essayer de me faire un sniffer alors. Encore merci !
Supprimerj'ai oublié de préciser que pour ma part il ne s'agit pas d'une cléf Zip mais d'une clef elkey, mais je pense que le principe est le même car elle est équipé du même transpondeur PCF7931.
RépondreSupprimerSi c'est le même transpondeur ça doit marcher de la même manière.
SupprimerIl faut savoir que si tu lis la clef sans connaître le code, tu obtiens tout le contenue de clef sauf que la zone password (les 7 premiers octets) qui sont a 00 00 00 00 00 00 00, ceci signifie que la clef est protégé on peut lire mais pas écrire.
Si l'octet 8 (PAC) est a 0 alors les 7 premiers octets sont en clair on voit directement le password avec un lecteur de puce RFID. Mais comme il est à 1, on ne voit pas le mot de passe, et faut sniffer le système qui le connais au moment de l'écriture sur la puce RFID... D'où la spire, et tout et tout pour la première fois après c'est plus nécessaire. C'est pour cela qu'il faut faire ceci avec sa propre clef dont on connaît le password pour pas cumuler bugs et autres problèmes pour s'entraîner...
Bon, je vais essayer alors, encore merci pour toutes ces précisions !
RépondreSupprimerje reviendrai donner des news.
Je reviens vers vous après un petit test, sur le lecteur de clé du distributeur il y a un petit bouton (style micro switch) qui est caché derrière une étiquette de la marque du lecteur de clé (ATTO EDB), j'avais fait une copie de ma clé d'origine via mon copieur de transpondeur mini zedbull.
RépondreSupprimerQuand je met la copie de ma clé dans le lecteur rien ne se passe, par contre quand j'appuies avant sur le micro switch et que je ne le lâche pas et que j'insert la clé été ensuite je relâche , je vois très rapidement la somme d'argent qui apparaît et qui ensuite disparaît. Je me demande bien a quoi peut servir ce micro switch car en appuyant dessus et en le relâchant je vois bien la somme qui appairait et qui ensuite disparaît. Ça prouve que la copie est bien faite mais que le pin bloque, je suis en train de réaliser le sniffer, la suite au prochain épisode :)
bonjour ,
RépondreSupprimerje ne comprend pas j'ai fait exactement le même sniffer que celui présenté , mais j'ai un gros problème, mon téléphone enregistre par son micro et n'active pas la minijack et donc n'enregistre pas le code pin... vous avez une solution ? merci !
Bonjour je ne suis pas celui qui à fait ce site, je n'ai donc pas testé le montage de la photo, j'en avais fait un qui ressemble avec des spires carrés parfaite bien calibré.
SupprimerBobine L1=63µH => 130spires diam_fil=0.1mm diam une spire=15mm (bobinage carré autour de la clef re-usiné)
C1=1/((2x3.14159xfres)^2xL) pour être à la résonance
avec fres = 125Khz d'ou C1=25nF
Puis j'ai utilisé une carte son d'un pc portable, et j'avais même intercalé un scanner de fréquence dont l'antenne était la spire pour démoduler et avoir de beaux carrés sous audacity.
Je n'ai donc pas testé avec un téléphone. Il va donc te falloir trouver un programme qui veut bien enregistré à partir de la sortie audio.
Attention a la fréquence d'échantillonnage si elle est trop basse tu n'auras que des parasites...
Je ne peux t'aider plus,je ne sais pas... (J'ai vue des docs qui utilisaient une puce JB125 pour demoduler, et ainsi permettre d'avoir de meilleurs signaux et utiliser un échantillonnage de carte son plus faible, mais j'ai pas testé, j'ai directement demodulé en AM+audacity ça m'a suffit...)
Bonne continuation !
Bonjour à tous ,
RépondreSupprimerComme déjà dit au par avant je lisais mon transpondeur avec un zedbull mini, maintenant je suis en possession d'un gambit, et je m'aperçois que la logique de mon transpondeur n'est pas du tout la même que celle donnée plus haut.
voici le résultat quand je lis un transpondeur PCF7931 de ma clé (El Key de machine Bianchi)
00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
0000 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
0010 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
0020 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
0030 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
0040 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
0050 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
0060 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
0070 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
j'ai compris que le block 01 et 02 correspondent à l'argent quil y a sur la clé (la il n'y a que 5 centimes) en lisant de droit à gauche il faut comprendre 0 05 , j'ai pu tester avec différentes sommes et c'est bien cette logique là, mais pour le reste ....
avez vous déjà rencontrer ce cas de figure ?
je ne parle même pas du fameux code pin !
merci d'avance !
Désolé j'ai oublié de remercier la personne au dessus de mon post pour son aide.
RépondreSupprimerBonjour,
RépondreSupprimerinteressant les trames: 0000 00 05 00 08 05 00 08 05 00 F4 82 00 08 00 77 D0
C'est étonnant qu'elle se répète a pour tous les secteurs...
Fait plusieurs essais de lecture avec le gambit pour être sur car il te manque les secteurs d'initialisation de la clef BLOCK 00 et 01. (là où il y a toute la config).
J'ai eu ce genre de problème avec certaines clefs la lecture ne se passait pas très bien, il fallait refaire plusieur essais pour avoir tous les secteurs et pour la reprogrammer je faisais octet par octet et pas toutes la clef d'un coup.
(essaye de changer la position de la clef dans le gambit)
Si j'étais toi, j'essayerai avec differentes clefs et bien evidement avec différente somme dessus. N'hesites pas a republier tu autres trame si j'ai une idée.
Voici moi mes BLOCK 00 et 01 de config de la clef
**********Block 0*************
Octet binaire hexa description
00 0000 0000 00 password = 0 password
01 0000 0000 00 password = 0 password
02 0000 0000 00 password = 0 password
03 0000 0000 00 password = 0 password
04 0000 0000 00 password = 0 password
05 0000 0000 00 password = 0 password
06 0000 0000 00 password = 0 password
07 0000 0001 01 PAC = Password Active flag = 1
08 0000 0100 04 BWP = Protection d'ecriture des blocs [7,6,5,4,3,2,1,0] => bloc 2 protege en ecriture
09 0000 0000 00 reserved mais non utilise
10 0000 0000 00 reserved mais non utilise
11 0000 0000 00 reserved mais non utilise
12 0000 0000 00 reserved mais non utilise
13 0000 0000 00 reserved mais non utilise
14 0000 0000 00 reserved mais non utilise
15 0000 0000 00 reserved mais non utilise
**********Block 1*************
Octet binaire hexa description
16 0000 0000 00 sync pattern
17 0000 1110 0E sync pattern s'incremente a chaque modification
18 0000 0000 00 sync pattern
19 0000 0000 00 sync pattern
20 0000 0000 00 sync pattern
21 0000 0000 00 sync pattern
22 0000 0000 00 sync pattern
23 0000 0000 00 sync pattern
24 0000 0000 00 IDE identifier
25 0000 0000 00 IDE identifier
26 0000 0000 00 IDE identifier
27 0000 0000 00 IDE identifier
28 0000 0000 00 IDL IDE lock
29 0000 0000 00 SDH shadow memory select/lock => user memory access
30 0000 0000 00 RB1 [7] RFB [2,1,0] => premier block a lire le 0
31 0000 0011 03 RLB [2,1,0] => dernier block a lire le 3
Peut etre que sur ta clef ils ont modifié la ligne 30 et 31 et mettant par exemple 3 et 3 et dans ce cas la ta clef est briqué, et tourne en boucle sur le secteur 3, les secteurs de config 0 et 1 ne sont plus paramétrable, c'est peut être volontaire...
Bonjour,
RépondreSupprimerEncore merci pour votre aide, voici un lien avec les différentes prises de lecture avec le gambit, comme vous pourrez le constater il y a différentes clés avec différentes sommes ainsi que différent transpondeurs car il y a différentes couleurs de clés qui correspondent à des sommes maximales pouvant être stockées sur la clé exemple PCF7431 (clé noire) qui peut stocker 15 euros maxi, la PCF7435 (clé rouge) qui peut stocker jusque 30 € maxi il y a également une clé verte mais je n'ai jamais eu l'occasion d'en avoir une entre mes mains, de plus les clés rouges et noir vont sur les mêmes distributeurs mais la clé verte et juste pour un distributeur bien précis, la clé rouge et noire ne peut aller sur le distributeur de la clé verte (discrimination).
https://image.noelshack.com/fichiers/2019/32/5/1565353239-cles.jpg
Si vous avez une idée ! je suis preneur car la je ne comprend pas grand chose :)
Merci
Bonjour, en effet on voit bien les sommes d'argent encodées à l'envers. (little/big endian), les colonnes 03,06,0C qui sont toujours identiques pour une même clef et le reste qui est fixe...
SupprimerLes conditions "de couleur de clef / où sommes max" sont donc probablement portées par ces colonnes (03,06,0C):
08 = 00001000 clef 1
67 = 01100111 clef 2
70 = 01110000 clef 3
6F = 01101111 clef 4
8B = 10001011 clef 5
Il est possible que ce soit une sorte de masque de bit, où chaque bit signifie quelque chose. Étudie la différence entre la clef 2 et la 4, car il n'y a qu'un bit de différence.
Je ne voit rien de plus pour le moment...
Faudrait que tu arrives à en reprogrammer une, et que tu testes bit par bit pour voir les effets de ces octets (03,06,0C)
Malheureusement je ne peux guère t'aider plus il manque trop d'infos...
Bonne continuation... :-)
Merci pour ta réponse je vais continuer a chercher si je trouve quelque chose je viendrais t en faire part. Merci encore .
RépondreSupprimerbonjour ,
RépondreSupprimercomment se lis les blocks ? premiere ligne , premier block ?
Quelqu'un a-t-il réussi à installer les pilotes Gambit sur Windows10 64 bits?
RépondreSupprimerPour pouvoir visualiser au moins le COM virtuel?
J'ai testé sur win 7 = OK, sur win 10 x64 l'exe gambit se lance mais il tourne dans le vide sans visuel...
SupprimerSalut pour ceux qui veulent cracker leur clef selecta en 5 min faites moi signe
RépondreSupprimerBONJOUR Jai besoin de toi stp merci d'avance
SupprimerComplètement chaud pour !
Supprimer