手机上全功能NFC的好处，当然就是可以模拟各种门禁卡和饭卡了。小米钱包自带的NFC卡模拟功能和ROM结合，使用时更是双击唤起且随意切换，十分好用。这里记录了几天来摸索的经验，供其他正在研究的同学参考。

1. 准备工作

• PN532模块。淘宝上30块买焊接好的带USB延长线的即可。
• 白卡1张。用来做手机卡模拟的桥梁
• 全功能NFC手机一台。小米系列手机是首选，其他品牌手机未测试。

2. 模拟非加密卡的流程

模拟非加密卡很简单，直接打开小米钱包，选择门卡->模拟门卡。根据系统指示直接将非加密卡放在手机NFC感应区，系统会自动识别并生成模拟卡。这里需要注意一点，有时手机读的可能卡信息可能不完整，最好在电脑上用PN532模块再读一边模拟出来的卡，如果数据一致那就没有问题；否则还需要删除此卡后重新模拟。

3. 模拟加密卡的一般流程

小米钱包的门卡模拟，只支持非加密卡，如果是加密卡就不能直接模拟，此时就需要用到PN532的强大解密功能了。玩NFC的朋友都知道，NFC的1类卡有非加密、部分加密和全加密这几种。部分加密是在某几个扇区使用了非公开的密钥，而全部加密是所有扇区都使用了私有的密钥。解密的原理网上很多，这里只介绍具体操作流程：

1. 用PN532解密部分加密的NFC卡，保存为A.dump文件
2. 将A.dump文件中的0扇区0行，即此卡的ID数据复制到一张空白dump文件的同样区域，保存为B.dump文件
3. 将B.dump文件写入一张物理白卡中
4. 使用手机模拟此物理白卡，得到模拟卡b；使用小米钱包的门卡功能，使用PN532读取模拟卡b的信息，如果能够读取，说明模拟有效，否则请重新模拟，以确保正确。
5. 将A.dump文件写入模拟卡b中，更新后的模拟卡a即为原来的部分加密NFC卡片。用PN532同样验证一遍更新后的卡片数据，如果和原来A.dump一致，那么证明模拟成功。

一般使用PN532上位机即可有效破解部分加密的卡片，对于采取了AES非对称加固的卡片，则需要借助已知的密钥，才能顺利读取卡片内容。

4. 模拟非对称加密卡的方式

发现手头上的公司门卡虽然是部分加密，但是竟然不能被PN532上位机破解，搜了很多资料，都是基于经典的MFOC/MFCUK的解决方案，都没有效果。最后只能翻墙看看国外网友怎么说，果然在github上找到了一个叫做miLazyCracker的方案，可完成傻瓜式暴力破解。

4.1 安装miLazyCracker

1. 下载地址：https://github.com/nfc-tools/miLazyCracker
2. CraptEV1文件可自行下载 度盘链接 提取码: 7vjj
3. Linux上安装libnfc驱动，参考见 这篇简书
4. Linux上安装miLazyCracker，就一行命令：./miLazyCrackerFreshInstall.sh

4.2 使用miLazyCracker

安装完毕后，创建一个临时目录，既可以开始暴力破解了

mkdir mydumps
cd mydumps
miLazyCracker

4.3 卡模拟

miLazyCracker解密后，即可获得加密扇区的密钥和完整的dump文件。导入到PN532上位机中，然后再读取卡片，即可顺利获取完整卡片数据。然后再按第三章节的方式，使用过度卡来完成模拟操作。最后记得再使用PN532读一下手机模拟出来的卡片，以确认正确哦。

写在最后

NFC模拟帮助我减轻了日常出行所需携带的卡片数量，配合智能门锁，我甚至可以不需要带钥匙和门卡出门了。以上所述的PN532以及miLazyCracker都只是工具，如果用于提升生活出行便利目的，那可能是工具制作者希望看到的；绝不可用于任何非法或者灰色产业链，否则就会收到道德的谴责和法律的制裁。

这里强烈推荐在实际操作之前阅读 miLazyCracker 作者Kevin Larson写的ppt（RECON-BRX-2017-Analyzing_Mifare_Classic_Cracking），上面度盘目录也有。他制作这个工具是为了说明1类的NFC卡片即使使用AES加密也很不安全，所以应该尽量使用更高级的卡片。不过似乎国内还是普遍使用了1类卡片，毕竟成本考虑，一张1类卡才几毛钱；而且配合云端数据库的读写，数据本体还是安全的；卡片更多是用来确认用户的身份。所以归根到底，产品方案上具体使用哪一类技术，恐怕更重要的是出于它的经济性考虑。

附注：M1类NFC卡片的0扇区格式：前4个字节为卡片UID，模拟时只看这4位；第5位是校验位；第6位开始到第16位是厂商数据。不知道是不是巧合，我手头的几张卡片第6-8位基本都是 08 04 00，只有一张是 88 04 00。