904终于完美使用非VDF卡打电话接电话收发短讯。如何突破tmsi?发力923sh更新1-2楼
- 主题发起人 phoneg
- 开始时间
可以看一下这个但不知道对你有没有用
http://www.bladox.com/
http://www.hackint0sh.org/forum/showthread.php?t=2641
http://hackint0sh.org/forum/showthread.php?t=2215
http://www.bladox.com/forum/viewtopic.php?t=542
我是初學者但Turbo Sims的技術應該是欺騙手機你在用正確的服伺器吧.
開機時手機會首先讀Turbo Sims而Turbo Sims內的程式寫了正確服伺器的編碼來欺騙手機,最後是讀本來自己的Sim卡. 對嗎? 這不是Unlock而是轉個圈來騙手機開程式吧.
如果是這樣Turbo Sims 的功用應該不只用在iPhone. 其他GSM手機如904SH也應該可以用這方法嗎? (當然Turbo Sims內的程式要配合那手機)
http://www.bladox.com/
http://www.hackint0sh.org/forum/showthread.php?t=2641
http://hackint0sh.org/forum/showthread.php?t=2215
http://www.bladox.com/forum/viewtopic.php?t=542
我是初學者但Turbo Sims的技術應該是欺騙手機你在用正確的服伺器吧.
開機時手機會首先讀Turbo Sims而Turbo Sims內的程式寫了正確服伺器的編碼來欺騙手機,最後是讀本來自己的Sim卡. 對嗎? 這不是Unlock而是轉個圈來騙手機開程式吧.
如果是這樣Turbo Sims 的功用應該不只用在iPhone. 其他GSM手機如904SH也應該可以用這方法嗎? (當然Turbo Sims內的程式要配合那手機)
#include <config.h>
#include <turbo/turbo.h>
#include <stdlib.h>
#include <string.h>
#define FAKE_ICCID 1
#define EF_IMSI 0x6F07
#define EF_ICCID 0x2FE2
u8 PROGMEM ef_imsi_path[] = { 0x3F, 0x00, 0x7F, 0x20, 0x6F, 0x07 };
#ifdef FAKE_ICCID
u8 PROGMEM ef_iccid_path[] = { 0x3F, 0x00, 0x2F, 0xE2 };
u8 PROGMEM _ef_iccid[] = {
0x00, 0x00, 0x00, 0x0A, 0x2F, 0xE2, 0x04, 0x00,
0x0F, 0x00, 0xAA, 0x01, 0x02, 0x00, 0x00
};
u8 PROGMEM _att_iccid[] = {
'H', 'e', 'l', 'l', 'o', 'S', 't', 'e', 'v', 'e'
};
#endif
u8 PROGMEM _att_imsi[] = {
0x08, 0x39, 0x01, 0x14, 0x10, '0', 'w', 'n', 'd'
};
#define IMSI_SIZE 9
#define IMSI_RESPONSE_SIZE 15
u8 counter;
u8 *imsi;
u8 *imsi_response;
u8 file[2];
/* bugbug ? doesn't seem to work with the high level API, anyway ... */
void low_level_imsi_select() {
file[0] = 0x3F;
file[1] = 0x00;
sim(0xA4, 0x00, 0x00, 0x02, file);
file[0] = 0x7f;
file[1] = 0x20;
sim(0xA4, 0x00, 0x00, 0x02, file);
file[0] = 0x6F;
file[1] = 0x07;
sim(0xA4, 0x00, 0x00, 0x02, file);
}
void handle_sim_file (File_apdu_data * fa)
{
u8 i;
if (fa->ins == ME_CMD_SELECT)
{
u16 ef = (fa->data[0] << | fa->data[1];
if (ef == EF_IMSI || ef == EF_ICCID)
{
fa->data[0] = 0x9F;
fa->data[1] = 0x0F;
}
return;
}
#ifdef FAKE_ICCID
if (fa->ef == EF_ICCID)
{
if (fa->ins == ME_CMD_GET_RESPONSE)
{
memcpy (fa->data, _ef_iccid, sizeof (_ef_iccid));
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
if (fa->ins == ME_CMD_READ_BINARY)
{
memcpy (fa->data, _att_iccid, sizeof(_att_iccid));
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
}
#endif
if (fa->ef == EF_IMSI)
{
if (fa->ins == ME_CMD_GET_RESPONSE)
{
if (counter == 0) {
low_level_imsi_select();
sim(0xC0, 0x00, 0x00, 0x0F, imsi_response); /* GET RESPONSE */
}
memcpy (fa->data, imsi_response, IMSI_RESPONSE_SIZE);
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
if (fa->ins == ME_CMD_READ_BINARY)
{
switch(counter) {
case 0:
/* learn and retransmit */
low_level_imsi_select();
sim(0xB0, 0x00, 0x00, 0x09, imsi); /* READ BINARY */
memcpy(fa->data, imsi, IMSI_SIZE);
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
counter++;
break;
case 1:
/* spoof */
memcpy (fa->data, _att_imsi, sizeof(_att_imsi));
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
counter++;
break;
case 2:
counter++;
/* no break intended here */
default:
/* play nice */
memcpy(fa->data, imsi, IMSI_SIZE);
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
}
}
}
void turbo_handler (u8 action, void *data)
{
switch (action)
{
case ACTION_APP_REGISTER:
break;
case ACTION_APP_UNREGISTER:
break;
case ACTION_APP_INIT:
counter = 0;
imsi = malloc(IMSI_SIZE);
imsi_response = malloc(IMSI_RESPONSE_SIZE);
reg_file (ef_imsi_path, 3);
#ifdef FAKE_ICCID
reg_file (ef_iccid_path, 2);
#endif
break;
case ACTION_FILE_APDU:
handle_sim_file (data);
break;
default:
break;
}
}
以上内容是不是写在877卡rom内的程序?
是不是可以修改了用到904里
#include <turbo/turbo.h>
#include <stdlib.h>
#include <string.h>
#define FAKE_ICCID 1
#define EF_IMSI 0x6F07
#define EF_ICCID 0x2FE2
u8 PROGMEM ef_imsi_path[] = { 0x3F, 0x00, 0x7F, 0x20, 0x6F, 0x07 };
#ifdef FAKE_ICCID
u8 PROGMEM ef_iccid_path[] = { 0x3F, 0x00, 0x2F, 0xE2 };
u8 PROGMEM _ef_iccid[] = {
0x00, 0x00, 0x00, 0x0A, 0x2F, 0xE2, 0x04, 0x00,
0x0F, 0x00, 0xAA, 0x01, 0x02, 0x00, 0x00
};
u8 PROGMEM _att_iccid[] = {
'H', 'e', 'l', 'l', 'o', 'S', 't', 'e', 'v', 'e'
};
#endif
u8 PROGMEM _att_imsi[] = {
0x08, 0x39, 0x01, 0x14, 0x10, '0', 'w', 'n', 'd'
};
#define IMSI_SIZE 9
#define IMSI_RESPONSE_SIZE 15
u8 counter;
u8 *imsi;
u8 *imsi_response;
u8 file[2];
/* bugbug ? doesn't seem to work with the high level API, anyway ... */
void low_level_imsi_select() {
file[0] = 0x3F;
file[1] = 0x00;
sim(0xA4, 0x00, 0x00, 0x02, file);
file[0] = 0x7f;
file[1] = 0x20;
sim(0xA4, 0x00, 0x00, 0x02, file);
file[0] = 0x6F;
file[1] = 0x07;
sim(0xA4, 0x00, 0x00, 0x02, file);
}
void handle_sim_file (File_apdu_data * fa)
{
u8 i;
if (fa->ins == ME_CMD_SELECT)
{
u16 ef = (fa->data[0] << | fa->data[1];
if (ef == EF_IMSI || ef == EF_ICCID)
{
fa->data[0] = 0x9F;
fa->data[1] = 0x0F;
}
return;
}
#ifdef FAKE_ICCID
if (fa->ef == EF_ICCID)
{
if (fa->ins == ME_CMD_GET_RESPONSE)
{
memcpy (fa->data, _ef_iccid, sizeof (_ef_iccid));
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
if (fa->ins == ME_CMD_READ_BINARY)
{
memcpy (fa->data, _att_iccid, sizeof(_att_iccid));
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
}
#endif
if (fa->ef == EF_IMSI)
{
if (fa->ins == ME_CMD_GET_RESPONSE)
{
if (counter == 0) {
low_level_imsi_select();
sim(0xC0, 0x00, 0x00, 0x0F, imsi_response); /* GET RESPONSE */
}
memcpy (fa->data, imsi_response, IMSI_RESPONSE_SIZE);
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
if (fa->ins == ME_CMD_READ_BINARY)
{
switch(counter) {
case 0:
/* learn and retransmit */
low_level_imsi_select();
sim(0xB0, 0x00, 0x00, 0x09, imsi); /* READ BINARY */
memcpy(fa->data, imsi, IMSI_SIZE);
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
counter++;
break;
case 1:
/* spoof */
memcpy (fa->data, _att_imsi, sizeof(_att_imsi));
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
counter++;
break;
case 2:
counter++;
/* no break intended here */
default:
/* play nice */
memcpy(fa->data, imsi, IMSI_SIZE);
fa->data[fa->p3] = 0x90;
fa->data[fa->p3 + 1] = 0x00;
}
}
}
}
void turbo_handler (u8 action, void *data)
{
switch (action)
{
case ACTION_APP_REGISTER:
break;
case ACTION_APP_UNREGISTER:
break;
case ACTION_APP_INIT:
counter = 0;
imsi = malloc(IMSI_SIZE);
imsi_response = malloc(IMSI_RESPONSE_SIZE);
reg_file (ef_imsi_path, 3);
#ifdef FAKE_ICCID
reg_file (ef_iccid_path, 2);
#endif
break;
case ACTION_FILE_APDU:
handle_sim_file (data);
break;
default:
break;
}
}
以上内容是不是写在877卡rom内的程序?
是不是可以修改了用到904里
phoneg,你好今天又仔细看了下iphone turbo-sim卡的帖子:
==========================================================================================
用SilverCard的方法写出可以在iPhone上使用本地运营商卡的方法,是利用了iPhone Baseband的一个漏洞,这个漏洞如下:
1、iPhone在就是在读取IMSI的时候,会检查运营商是否为AT&T,从而决定是否允许在本机使用。由于Baseband软件上的漏洞,iPhone只在前2次会读取IMSI检查,在以后的使用过程中不再检查,因此绕过这2次检查就绕过了iPhone对卡的限制。
2、这次的SilverCard方法,通过修改卡上的程序,让制作出来的卡前2次返回原AT&T的IMSI,这样iPhone会认为该卡是正宗的AT&T卡;而从第3次起程序开始返回本地移动商的IMSI,这样当在本地网络登录的时候,由于使用的是本地的IMSI和Ki,因此就可以正确登录了。
==========================================================================================
文中提到turbo-sim卡利用了iPhone Baseband的一个漏洞,前2次会检查运营商是否为AT&T,之后就不检测了。通过这个特性,得以让turbo-sim打开了iphone的通话之门。
不知道,904sh或则其他一些加锁的日机,是否也存在这么一个类似的漏洞。
我又仔细看了你1F的帖子:
==========================================================================================
根据目前获得的数据看基本可以确定开机程序跑一段时间后检测过imsi就不再检测了
数据还有显示emm指令,多次检测均为同一数据。这个我猜是否就是。。。
不能确定,大家一起猜吧。
但是这个数据是经过运算后得到的,并非是明码。有给应用带来麻烦:(
20070315
==========================================================================================
以上提到基本可以确定开机程序跑一段时间后检测过imsi就不再检测了,是不是就是类似iphone的那个漏洞?
==========================================================================================
用SilverCard的方法写出可以在iPhone上使用本地运营商卡的方法,是利用了iPhone Baseband的一个漏洞,这个漏洞如下:
1、iPhone在就是在读取IMSI的时候,会检查运营商是否为AT&T,从而决定是否允许在本机使用。由于Baseband软件上的漏洞,iPhone只在前2次会读取IMSI检查,在以后的使用过程中不再检查,因此绕过这2次检查就绕过了iPhone对卡的限制。
2、这次的SilverCard方法,通过修改卡上的程序,让制作出来的卡前2次返回原AT&T的IMSI,这样iPhone会认为该卡是正宗的AT&T卡;而从第3次起程序开始返回本地移动商的IMSI,这样当在本地网络登录的时候,由于使用的是本地的IMSI和Ki,因此就可以正确登录了。
==========================================================================================
文中提到turbo-sim卡利用了iPhone Baseband的一个漏洞,前2次会检查运营商是否为AT&T,之后就不检测了。通过这个特性,得以让turbo-sim打开了iphone的通话之门。
不知道,904sh或则其他一些加锁的日机,是否也存在这么一个类似的漏洞。
我又仔细看了你1F的帖子:
==========================================================================================
根据目前获得的数据看基本可以确定开机程序跑一段时间后检测过imsi就不再检测了
数据还有显示emm指令,多次检测均为同一数据。这个我猜是否就是。。。
不能确定,大家一起猜吧。
但是这个数据是经过运算后得到的,并非是明码。有给应用带来麻烦:(
20070315
==========================================================================================
以上提到基本可以确定开机程序跑一段时间后检测过imsi就不再检测了,是不是就是类似iphone的那个漏洞?
phoneg兄,按照iphone的一味模仿看样子是行不通的。这个也有人已经实践过了。毕竟904和iphone不一样。虽然从原理上讲一样,但是什么时候停止检测imsi这个,必须要有专业设备我想才可以查到。然后对这个进行程序修改。直接copy iphone的那个turbo sim的程序行不通。
另外,我想到个问题,可能为时过早,但还是要想说出来。检测一会imsi后就不检测了,这个时候利用程序替换vdf的imsi为移动imsi。这个一般都是开机的时候检测一下,然后就都不会检测了?还是说如果信号中断,再恢复后会不会还要检测?你要知道日机,很多时候会无信号。
另外,我想到个问题,可能为时过早,但还是要想说出来。检测一会imsi后就不检测了,这个时候利用程序替换vdf的imsi为移动imsi。这个一般都是开机的时候检测一下,然后就都不会检测了?还是说如果信号中断,再恢复后会不会还要检测?你要知道日机,很多时候会无信号。