Vinden 01key op orginele kaart zonder te loggen

[Gast]

Die truc werkt inderdaad.<P>Je kunt ook secamosc (spaans proggy) gebruiken om de laatste 3 bytes te bruteforcen. <P>Let wel: je gaat hierbij informatie in de kaart OVERSCHRIJVEN! Is dat bijv een PBM dan is dat makkelijk weer recht te zetten, maar als je een record wilt lezen waar een keyrecord "bovenop" ligt dan moet je dat eerst lezen, 8*90 over je EIGEN key ENCRYPTEN en dat overschrijven, dan kun je het volgende lezen. Maak je één fout dan ben je je 01-key kwijt of nog erger je 00!!<P>Dus iedereen die dit wil proberen: oefen eerst op een "testkaart". Zorg dat je een kaart hebt om mee te klooien, leer de commando's en zelf keys schrijven en zo (niet met een drukknop progje). Ga DAN pas dit soort dingen doen. Anders is de ellende niet te overzien. <BR>Wat je kunt doen is kijken wat er bovenop key01/primary ligt (81), is dat een PBM of PPV record dan kun je dat veranderen. Je kunt dan 8 bytes uitlezen en dan heb je je eigen 01 key.

[Gast]

Dit vond ik toevallig, heb het nog niet geprobeerd!<P>Finding out your MK01 (or operational keys) without logging - the holy grail is here!!!!<P>Written by Mal, using the information supplied by Jabo, translated by neilt.<P>Fourth draft - 03/01/01<P>I have rushed this so it's probably full of omissions!!<P>This seems to be easier to do on newer OnDigital cards.<P><BR>1. Create an MK on provider00 with MKFind to allow you to modify the card at a later stage.<P>2. Open a copy of Cardmaster+, connect to the card and click the 'Records' button. You will<BR>see something like this appear:<P>Provider 0 .<BR>Record 0001 = 01 00 00 00 00 00 00 00 02 00 00 E0 <<<<< Unknown as yet<BR>Record 0002 = 00 06 05 00 29 00 1B 03 3C 34 20 E0 <<<<< Unknown as yet<BR>Record 0003 = F0 FF FF FF FF FF FF FF FF 29 00 80 <<<<< 90 F0<BR>Record 0004 = 50 FF FF FF FF FF FF FF FF F2 00 C0 <<<<< 91 50<BR>Record 001A = 52 FF FF FF FF FF FF FF FF 1C 00 80 <<<<< 90 52<BR>Provider 1 .<BR>Record 0005 = 50 FF FF FF FF FF FF FF FF 86 00 81 <<<<< 90 50<BR>Record 0006 = 50 FF FF FF FF FF FF FF FF 46 00 C1 <<<<< 91 50 This is the previous record<BR>Record 0007 = 51 FF FF FF FF FF FF FF FF 36 00 81 <<<<< 90 51 Here is the Primary MK01<BR>Record 0008 = 51 FF FF FF FF FF FF FF FF 04 00 C1 <<<<< 91 51 Here iS the Secondary MK01<BR>Record 0015 = FC C4 00 03 FF E0 00 00 00 00 00 91 <<<<< Here is the PBM<BR>Record 0016 = 5C FF FF FF FF FF FF FF FF 7A 00 81 <<<<< 90 5C Here is the 0C key<BR>Record 0017 = 5D FF FF FF FF FF FF FF FF 53 00 81 <<<<< 90 5D Here is the 0D key<BR>Record 0018 = 5E FF FF FF FF FF FF FF FF 2E 00 81 <<<<< 90 5E Here is the 0E key<BR>Record 0019 = 00 00 00 00 00 8C 15 00 00 00 00 D1 <<<<< Unknown as yet<BR>Provider 2 .<BR>Record 0009 = F0 FF FF FF FF FF FF FF FF E9 00 82 <<<<< 90 F0<BR>Record 000A = 50 FF FF FF FF FF FF FF FF 39 00 C2 <<<<< 91 50<BR>Record 000B = F2 FF FF FF FF FF FF FF FF F5 00 82 <<<<< 90 F2<BR>Record 000C = 52 FF FF FF FF FF FF FF FF 0D 00 C2 <<<<< 91 52<P>etc, etc<P>Done.<P>3. Look for the record in Provider 1 that contains MK01 (marked on the above example).<P>4. Find the previous record (in this case I'm really lucky as it's the one above). The '50'<BR>means that it's key '00' and the 'Cx' means that it's a secondary key. '8x' would mean<BR>primary key. If the previous record begins with an 'Fx' (eg 'F0' in record 00 03) you can<BR>overwrite this safely as well.<P>One point to note is that unless you know the contents of the previous record you will lose<BR>them when they are overwritten.<P>5. Overwrite the previous key with '90 90 90 90 90 90 90 90' encrypted with your MK created on<BR>provider00. In this case I would be writing to '91 50' in nano speak. The full command <BR>being:<P>C1 40 MK MK LN 24 ID ID 91 50 n1 n2 n3 n4 n5 n6 n7 n8 82 + sig <P>where LN is the length<BR>where ID ID is the provider ident to modify (00 1B is OnDigital 1)<BR>where n1-n8 is '90 90 90 90 90 90 90 90' encrypted with your MK on provider00<BR>where MK MK is the management key you are using for the modification (ie 00 02)<P>6. Reconnect Cardmaster+ and click 'Dump'. In this example the<BR>result was:<P>Records in plain<BR>Record 0006 = D9 77 70 A8 3A 36 00 81 50 90 90 90<BR>Done.<P>The last 5 bytes of MK01 are 'D9 77 70 A8 3A'.<P>7. Do a 'C1 5A 01 01 08' command to get the encypted full MK01. Use CocDec to search for the last <BR>3 missing bytes and you should have your MK01.<P><BR>8. After you are done, you may wish to restore the previous record or overwrite it with <BR>'FF FF FF FF FF FF FF FF'. You may also want to delete the MK you created on provider00 - which <BR>you can do this with MKFind.<P><BR>Things still to find out:<BR>What to do if the previous record is in provider00 and is not able to be overwritten.

[Gast]

Als ik het bovenstaande voorbeeld bekijk, moet je beginnen met record0002 en niet met 0006 want dan overschrijf je je 00-key! <BR>heb je de inhoud van record 0003, dan kun je die overschrijven en record 0004 uitlezen en zo verder tot je bij 0007 bent, 0008 uitlezen en dan heb je alle relevante keys.<BR>Ik heb gezien dat bij een NL kaart de "previous" record van de MK01 een ppv-record is. Dat kun je wissen en maak dan een key02 aan, die "plain" uit die 90's bestaat.<BR>

[Gast]

Hallo Kaartje,<P>Ik zie dat je het PPV record kunt beschrijven. Kun je ook aangeven hoe je dat doet??<P>Hoe te wissen en hoe te beschrijven dus de 8 x 90 erop???<P>Bijvoorbaatdank<P><BR>

[Gast]

Beetje fantasie gebruiken <BR>Je kunt een PPV record verwijderen met 42 FF FF 00 00. <BR>Vervolgens komt de volgende key die je schrijft op dat record te staan. <BR>Dan codeer je die 90's over je eigen MK en schrijft dat als gecodeerde key met bijv index 05. Zoiets: c1 40 00 P2 LL 24 00 19 90 55 xx xx xx xx xx xx xx xx 82 s1 <BR>Op dezelfde wijze als je andere keys schrijft dus. <BR>Later kun je die key weer deleten met 10 05 (wel aan je ident adresseren met 24 00 19 (nl) ) <BR>Dan schrijf je weer een ppv record (hoeft niet denk ik).

[Gast]

krijg een record geschreven,<P>alleen als ik dump in cardmaster, krijg ik niet de juiste record die ik wil, maar de laatste van seca ?<P>c1 40 00 05 16 24 00 19 91 5e xx xx xx xx xx xx xx xx 82 + sig.<P>mk05 op seca<BR>prov 00 19<P>record 000b = oe key bij mij.<P>wat doe ik fout. <P>0e key is 81 5e ?? mogelijk<BR>

[Gast]

Moeilijk.<P>Wat je opschrijft is een keyupdate voor key 0E secundary.<P>Hoe ziet jouw record-tabel er dan uit? Welk record ligt bovenop <BR>prov.1<P>xxxx 51 xx xx xx xx xx xx xx xx 00 00 81 ???<P>

[Gast]

Kaartje , dank voor hulp.<P><BR>Record 000B = 5E FF FF FF FF FF FF FF FF F9 00 81<BR>ligt boven prim key.<BR>Maar C1 40 ..... schrijft op seca 00 records.<P>Maak ergens een typ fout? of denkfout.<P><BR><P>------------------<BR>

[Gast]

De denkfout is denk het commando met de puntjes,<P>hoe zit dat in elkaar 5y boven n1??<P>------------------<BR>

[Gast]

Okee is al opgelost,<P>was een printerfout.<P>Allen dank.<P><P>------------------<BR>

[Gast]

C1 40 00 0x LL 24 00 19 90 5E xx xx xx xx xx xx xx xx 82 s1 <P>0x= je eigen key. (05)<BR>Het 24 nano zorgt ervoor dat je keyupdate aan Ident 0019 geadresseerd wordt. <BR>Vervolgens die 90's crypten over je eigen key en schrijven. <BR>Je 0E key ben je dan kwijt maar dat is een kwestie van de kaart een kwartiertje in de ontvanger ;-) (of zelf ff crypten en schrijven)<BR>

[Gast]

verschillende faq gelezen, maar niet alle faq vertellen hetzelfde,<P>000b uitgelezen, is 5 bytes plain de eerste<BR>5 of eentje verder<P><BR>000b 00 11 22 33 44 55 66 dus 00 11 22 33 44<P>of <P>000b 00 11 22 33 44 55 66 dus 11 22 33 44 55<P>hetzelfde geldt voor crypted MK01,<P>Kaartje dank voor antwoord.<BR>

[Gast]

Is al gelukt , alle bovenstaande vragen kunnen vervallen.<P><BR>Nieuwe vraag,<P>nano om key te verwijderen<P>10 05<P>voor record 000B<P>Hoe is de nano voluit?<P><BR>Dank.<BR>

[Gast]

Wat staat er op record 000b?<P>10 05 daar verwijder je key05 mee. <BR>Lees dat eerst eens uit.<P>

[Gast]

Is niet belangrijk,<P>wil alleen de nano weten voor om b.v oooB<BR>te verwijderen.<P>C1 10 0B 00 19 zoiets?<P>Dank.<BR>