直接参考,请: https://tomvanveen.eu/emulating-amiibos-with-a-proxmark-3/

注意!!!
原版固件不支持模拟 amiibo,必须要刷成 iceman 的固件

刷入固件

你可以使用 brew 仓库来获取 iceman 的固件代码,具体步骤参考:https://github.com/iceman1001/proxmark3#homebrew-mac-os-x

我这里还是克隆 github 仓库,因为不想和官方的固件冲突。

  1. 克隆代码

原文中的 https://github.com/tomvanveen/proxmark3https://github.com/iceman1001/proxmark3 相同

1
git clone https://github.com/iceman1001/proxmark3

  1. 编译

编译这步骤,Mac 比较省心

1
2
cd proxmark3
make clean && make all

  1. 刷入固件
    1
    client/flasher /dev/cu.usbmodem###### -b bootrom/obj/bootrom.elf armsrc/obj/fullimage.elf

###### 是一串数字。

转换

用原博主的命令行工具,转换 bin 数据文件为 eml 文件。

转换完成后,末尾会输出模拟的命令,因为每张卡的 uid 不同。

这就意味着每次模拟前都要转换一下,不然你怎么记得住每张卡的 uid,eml 文件里面是没有 uid 的。

这个步骤比较麻烦,我目前也没有想到更好的处理办法。

模拟

执行

1
2
hf mf eload u Champion Mipha.bin
hf 14a sim t 7 u 04C25292AA5280

一个实例如下

1
2
3
4
5
6
7
8
pm3 --> hf mf eload u /Users/<REDACTED>/amiibo/02
...............................................................................................................................................................................................................................................................

[+] Loaded 255 blocks from file: /Users/<REDACTED>/amiibo/02.eml
pm3 --> hf 14a sim t 7 u 04C25292AA5280
[+] Emulating ISO/IEC 14443 type A tag with 7 byte UID (04 C2 52 92 AA 52 80 )
[+] press pm3-button to abort simulation
#db# Emulator stopped. Tracing: 1 trace length: 7530

停止模拟就按一下 pm3 上的小按钮

pm3 写卡,我暂时没有找到教程。

一般是用安卓手机写卡,写卡软件是 tagmo,可以文末的资源下载.

其他资料

后来我买了一些 amiibo 白卡,白卡类型和往常遇到的不同,amiibo 卡片类型是 NTAG 215.

下面是使用 pm3 读卡的信息。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
pm3 --> hf mfu info

--- Tag Information ---------
-------------------------------------------------------------
TYPE : NTAG 215 504bytes (NT2H1511G0DU)
UID : 04 E6 99 22 E9 6B 80
UID[0] : 04, NXP Semiconductors Germany
BCC0 : F3, Ok
BCC1 : 20, Ok
Internal : 48, default
Lock : 00 00 - 00
OneTimePad : E1 10 3E 00 - 2160

--- NDEF Message
Capability Container: E1 10 3E 00
E1 : NDEF Magic Number
10 : version 1.0 supported by tag
3E : Physical Memory Size: 504 bytes
3E : NDEF Memory Size: 496 bytes
00 : Read access granted without any security / Write access granted without any security

--- Tag Signature
IC signature public key name : NXP NTAG21x (2013)
IC signature public key value : 04 49 4E 1A 38 6D 3D 3C FE 3D C1 0E 5D E6 8A 49 9B 1C 20 2D B5 B1 32 39 3E 89 ED 19 FE 5B E8 BC 61
Elliptic curve parameters : secp128r1
Tag ECC Signature : 5A 89 79 8C E1 16 78 CF 75 5E FD 27 35 44 DB 33 15 A9 16 74 E9 0B 2C 47 8E D7 EE 3D D2 24 2F C9

--- Tag Version
Raw bytes : 00 04 04 02 01 00 11 03
Vendor ID : 04, NXP Semiconductors Germany
Product type : 04, NTAG
Product subtype : 02, 50pF
Major version : 01
Minor version : 00
Size : 11, (512 <-> 256 bytes)
Protocol type : 03 (ISO14443-3 Compliant)

--- Tag Configuration
cfg0 [131/0x83] : 04 00 00 FF
- strong modulation mode disabled
- pages don't need authentication
cfg1 [132/0x84] : 00 05 00 00
- Unlimited password attempts
- NFC counter disabled
- NFC counter password protection enabled
- user configuration writeable
- write access is protected with password
- 05, Virtual Card Type Identifier is default
PWD [133/0x85] : 00 00 00 00 - (cannot be read)
PACK [134/0x86] : 00 00 - (cannot be read)
RFU [134/0x86] : 00 00 - (cannot be read)

--- Known EV1/NTAG passwords.
Found a default password: FF FF FF FF || Pack: 00 00

资源

  1. retail key,手机写卡需要用到的
    https://nfc-bank.com/bins.php?do=download&downloadid=1349

  2. tagmo,支持nfc功能手机的写卡软件
    https://github.com/HiddenRamblings/TagMo/releases

  3. amiibo 合集 Complete Amiibo Collection (2020.05.03),下载时注意关闭浏览器的广告拦截插件
    https://nfc-bank.com/bins.php?do=download&downloadid=1988

  4. 相关讨论
    http://www.proxmark.org/forum/viewtopic.php?id=2440&p=2
    https://www.reddit.com/r/Amiibomb/comments/5ywlol/howto_the_easy_guide_to_making_your_own_amiibo/