首页 安全文摘 正文

使用python读取银行卡信息

1 银行卡敏感信息?之前网上有所谓专家认为,NFC手机有可能成为黑客的“提款机”;也有分析认为,手机只有紧贴着银行卡才能读出有限的卡内信息,也并不能进行转账操作,因此风险并不大。看了这么多,不如自己用python读取一下,看看到底能读取到什么信息呢?2 前置准备ACR122U银行卡数张ACR122UToolsEMV TLV查询分析器3 银行卡能读取什么信息?

1 银行卡敏感信息

之前网上有所谓专家认为,NFC手机有可能成为黑客的“提款机”;也有分析认为,手机只有紧贴着银行卡才能读出有限的卡内信息,也并不能进行转账操作,因此风险并不大。看了这么多,不如自己用Python读取一下,看看到底能读取到什么信息呢?

 使用python读取银行卡信息 安全文摘 安全文摘  第1张

2 前置准备

ACR122U


银行卡数张

 使用python读取银行卡信息 安全文摘 安全文摘  第2张

ACR122UTools

 使用python读取银行卡信息 安全文摘 安全文摘  第3张

EMV TLV查询分析器

 使用python读取银行卡信息 安全文摘 安全文摘  第4张

3 银行卡能读取什么信息?

1. 姓名

2. 身份证

3. 银行卡号

4. 银行卡有效期限

5. 近十条消费记录

6. 电子现金余额(不是银行卡余额)

但并不是所有的银行卡都能读出这些信息,经网友测试:

 使用python读取银行卡信息 安全文摘 安全文摘  第5张

银行卡最多可以记录10条交易日志,这10条是循环日志,可直接读取,但网银或者网上交易NFC读不出,因为交易时芯片没有上电不会记日志。持卡人姓名卡号等如果是明文则必然可以读出,姓名卡号能否读出取决于银行的数据(姓名可以不写到卡里,卡号可以密文)。

证件号则是PBOC3.0规范新增的,读不出证件号的银行可可能是PBOC2.0。另外,电子现金余额可以100%读,卡内余额(主账户)是读不出的,电子现金账户的钱(余额上限一般为1000)是可以随便刷的,不需要密码。

4 怎么读取?

首先将ACR122U和电脑连接起来,Win10不需要安装驱动的。

接下来我们使用ACR122UTools使用指令去读取一下银行卡信息,先创建一个新的连接:

 使用python读取银行卡信息 安全文摘 安全文摘  第6张

发送指令选择卡片,命令:

00A4040007A0000003330101

 使用python读取银行卡信息 安全文摘 安全文摘  第7张

接下来获取银行卡卡号、有效期等信息,指令:

00B2011400

 使用python读取银行卡信息 安全文摘 安全文摘  第8张

因为这张图里有自己的信息,所有我从网上找了张图片解析出卡号和有效期等信息:

 使用python读取银行卡信息 安全文摘 安全文摘  第9张

其他的我都不截图了,这里给出指令大家尝试一下:

00B2010C00

获取最近十条交易记录:

00B2015C0000B2025C0000B2035C0000B2045C00...00B2095C00

emmm,知道如何去获取数据之后,接下来就需要使用python脚本编写程序获取银行卡数据

5 python读取

我们需要使用到pyscard这个库,安装也很简单:

pip install pyscard

接下来我们尝试一下和银行卡交互数据

>>> from smartcard.System import readers
>>> from smartcard.util import toHexString
>>>
>>> r=readers()
>>> connection = r[0].createConnection()
>>> connection.connect()
>>> SELECT = [0x00,0xA4,0x04,0x00,0x07,0xA0,0x00,0x00,0x03,0x33,0x01,0x01]
>>> data, sw1, sw2 = connection.transmit( SELECT)
>>> print data
.......data.......

我们选择卡片之后就需要发送读取信息的指令

>>> SELECT = [0x00,0xB2,0x01,0x14,0x00]
>>> data, sw1, sw2 = connection.transmit(SELECT)
>>> print data
.......data.......

通过处理ASC122U返回的数据,我们可以编写如下脚本:

 使用python读取银行卡信息 安全文摘 安全文摘  第10张

6 工具地址

下载量 : 15  |  文件类型 : 压缩文件  

7 敬请指正

本文引用了以下文章,感谢:

https://www.zhihu.com/question/24106690

https://www.cnblogs.com/zfyouxi/p/4078418.html

https://www.cnblogs.com/nightnine/p/5502753.html

http://blog.sina.com.cn/s/blog_625033800102uxwt.html

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1580.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10262

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10104

评论列表
ACR122U是什么??
2019-11-09 21:30:24 回复
@疯子工具都有打包
2019-11-10 03:48:53 回复

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持