惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
GbyAI
GbyAI
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
博客园 - 三生石上(FineUI控件)
美团技术团队
Last Week in AI
Last Week in AI
WordPress大学
WordPress大学
L
LangChain Blog
雷峰网
雷峰网
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 叶小钗
Engineering at Meta
Engineering at Meta
腾讯CDC
Recent Announcements
Recent Announcements
The Register - Security
The Register - Security
有赞技术团队
有赞技术团队
Blog — PlanetScale
Blog — PlanetScale
博客园 - Franky
博客园 - 司徒正美
The Cloudflare Blog
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
C
Check Point Blog
小众软件
小众软件
V
Visual Studio Blog
V
V2EX
F
Full Disclosure
J
Java Code Geeks
MongoDB | Blog
MongoDB | Blog
罗磊的独立博客
人人都是产品经理
人人都是产品经理
量子位
Apple Machine Learning Research
Apple Machine Learning Research
F
Fortinet All Blogs
Microsoft Security Blog
Microsoft Security Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
博客园 - 【当耐特】
博客园_首页
Y
Y Combinator Blog
N
Netflix TechBlog - Medium
酷 壳 – CoolShell
酷 壳 – CoolShell
Stack Overflow Blog
Stack Overflow Blog
Recorded Future
Recorded Future
G
Google Developers Blog
Vercel News
Vercel News
大猫的无限游戏
大猫的无限游戏
Microsoft Azure Blog
Microsoft Azure Blog
U
Unit 42
爱范儿
爱范儿
Jina AI
Jina AI

运维开发绿皮书

OBS虚拟摄像头重命名 Ubuntu备份为LiveOS 使用Powershell卸载windows默认程序 Cisco路由器OSPF配置 汽车的分类和特点 Windows11跳过TPM2.0 HTTPS 双向认证与 USB 加密锁配置实战 SSL 证书工具 字数统计 BMI 计算 颜色转换 Hash 生成器 JSON 格式化 JWT 解码 房贷计算 时间戳转换 URL 编码 UUID 生成 牛马时钟 二维码批量生成器 CKS Simulator Kubernetes 1.25 FRP TOTP验证码生成器 direct-ssh-passthrough-nat 脚本使用说明 Python软件授权 Linux命令行百度网盘 为 Containerd 配置 Harbor 无证书镜像站 Docker一键部署Meta和MetacubexD面板 必应搜索屏蔽垃圾网站 VMware的ubuntu完整安装vm-tools支持粘贴板 Docker Desktop 安装到其他位置 Dell EMC PowerEdge R740服务器内存插槽使用说明及正确安装方法 tc常用命令总结 OpenStack排错 稳定币监管与投资指南 VMware ESXi 密码恢复指南 VMware 加密 state.tgz 文件解密教程 六百万数据 MySQL count(*) 优化 使用iptables禁止特定子网访问指定端口 解决 iptables DNAT 无法转发到 127.0.0.1 的问题及安全风险分析 Linux 一键测试脚本 Gitlab配置详解 Gitlab批量创建用户 Ubuntu安装VNC教程 Windows11跳过微软账号登录 vue配置Nginx伪静态 Linux下Ollama开放端口 模型详解配置 修改Git提交历史中的作者信息 在PowerShell中启动Git Bash的方法 一键安装OpenVPN 大语言模型 模型架构-Transformer模型 训练相关资料 GPT&DeepSeek模型 大模型技术基础 Git Bash 中一键安装 pacman Gitlab-Runner的一些问题 Docker运行kwaivgi-liveportrait Firefox密码提取 在x86-64上构建和运行多种架构的Docker容器 flutter配置镜像站 VMware最新下载地址(纪念碑) 一键安装Conda Docker老版本runc报错无法启动 清理Rancher节点 aapanel 7.x 中文语言配置指南 Ubuntu 22 安装 Kubernetes 1.29 集群指南 Ubuntu修复CNVD-2024-4920726 GRUB锁定密码 Grub2手动引导Linux Cron在线表达式生成器 GitLab一键设置镜像源 文本字符串倒序 Windows禁用任务管理器 UOS(1070a)服务器版本部署Kubernetes1.28 Windows11恢复Windows10右键菜单 Ubuntu一键设置镜像源 CentOS 7 一键设置Vault镜像 Base64在线编码解码 代码差异对比 为Docker分配物理网卡 已经在谷底了 怎么走都是向上 GitLab统计提交代码行数Python代码 Windows11的24H2出现扩展错误 Windows绕过MicroSoft Store直接下载应用 Fossy平台离线部署分析 在WSL中移除Windows环境变量 重装MicroSoft Store Sony Xperia 10 IV(pdx225)AOSP14编译和刷机方法 pnpm在DevContainer中存储出错解决方法 从SVN迁移仓库到Git Ubuntu中移除Snap软件包 使用Netcat检测UDP端口连通性 rke2集群命令行调试方法 Ubuntu隐私优化-关闭公共门户连接检查 Cisco路由器配置ipv4和ipv6的VTY账户密码 Python实现九九乘法表 Windows10中用多网卡链路聚合来解决网卡网速瓶颈 CentOS7 安装 OpenResty
解密CFSSL生成的CRL数据
Paper-Dragon · 2024-11-17 · via 运维开发绿皮书

解密CFSSL生成的CRL数据

CFSSL 是一个强大的工具,有证书吊销列表(CRL),可是它是加密的。

本文将详细介绍如何使用 curljqbase64openssl 工具解密 CFSSL 生成的 CRL 数据。

解密的步骤具体有

  • 从json数据中提取加密的base64数据
  • 解密base64数据获得encode数据
  • 使用openssl进行decode获得pem数据
  • 从pem数据解码获得明文数据

其中得益于openssl的功能强大,第三步和第四步可以一步到位,下面将会说明。

发送请求获取原始数据

请求

curl --location --request GET 'http://83.229.120.34:8888/api/v1/cfssl/crl?expiry'

请求来的数据如下,其中的result部分是我们需要的base64加密数据。

{
    "success": true,
    "result": "MIIBRTCB7AIBATAKBggqhkjOPQQDAjCBlTELMAkGA1UEBhMCQ04xEDAOBgNVBAcTB0JlaWppbmcxKTAnBgNVBAoTIFBhcGVyRHJhZ29uIFRlY2hub2xvZ3kgQ28uLCBMdGQuMSMwIQYDVQQLExpJbnRlcm1lZGlhdGUgQ0EgRGVwYXJ0bWVudDEkMCIGA1UEAxMbUGFwZXJEcmFnb24gSW50ZXJtZWRpYXRlIENBFw0yNDExMTYxNjIzMzZaFw0yNTA5MTIxNjIzMzZaMACgIzAhMB8GA1UdIwQYMBaAFJAzuMyI4AKwil7C6Xj4rPVln4AvMAoGCCqGSM49BAMCA0gAMEUCIQC0xb6UcoCMT5Z7GD6avEbWnRxvdAPVmMZPZqUavmw0YwIgdbF7gsCgF6fUNZm2HXNEzxvHALp0A3WqD20p+13/7X0=",
    "errors": [],
    "messages": []
}

我们需要的数据是

MIIBRTCB7AIBATAKBggqhkjOPQQDAjCBlTELMAkGA1UEBhMCQ04xEDAOBgNVBAcTB0JlaWppbmcxKTAnBgNVBAoTIFBhcGVyRHJhZ29uIFRlY2hub2xvZ3kgQ28uLCBMdGQuMSMwIQYDVQQLExpJbnRlcm1lZGlhdGUgQ0EgRGVwYXJ0bWVudDEkMCIGA1UEAxMbUGFwZXJEcmFnb24gSW50ZXJtZWRpYXRlIENBFw0yNDExMTYxNjIzMzZaFw0yNTA5MTIxNjIzMzZaMACgIzAhMB8GA1UdIwQYMBaAFJAzuMyI4AKwil7C6Xj4rPVln4AvMAoGCCqGSM49BAMCA0gAMEUCIQC0xb6UcoCMT5Z7GD6avEbWnRxvdAPVmMZPZqUavmw0YwIgdbF7gsCgF6fUNZm2HXNEzxvHALp0A3WqD20p+13/7X0=

解密第一层base64

尝试使用命令解密,得到数据放到了标准输出,这是不可读的,所以我们要把数据流放到文件里。

错误的解密示范

echo MIIBRTCB7AIBATAKBggqhkjOPQQDAjCBlTELMAkGA1UEBhMCQ04xEDAOBgNVBAcTB0JlaWppbmcxKTAnBgNVBAoTIFBhcGVyRHJhZ29uIFRlY2hub2xvZ3kgQ28uLCBMdGQuMSMwIQYDVQQLExpJbnRlcm1lZGlhdGUgQ0EgRGVwYXJ0bWVudDEkMCIGA1UEAxMbUGFwZXJEcmFnb24gSW50ZXJtZWRpYXRlIENBFw0yNDExMTYxNjIzMzZaFw0yNTA5MTIxNjIzMzZaMACgIzAhMB8GA1UdIwQYMBaAFJAzuMyI4AKwil7C6Xj4rPVln4AvMAoGCCqGSM49BAMCA0gAMEUCIQC0xb6UcoCMT5Z7GD6avEbWnRxvdAPVmMZPZqUavmw0YwIgdbF7gsCgF6fUNZm2HXNEzxvHALp0A3WqD20p+13/7X0= | base64 -d
0�E0��0
*�H�=0��1
         0      UCN10UBeijing1)0'U
 PaperDragon Technology Co., Ltd.1#0!U
                                      Intermediate CA Department1$0"U0��3�̈���^��x���e��/0

正确的解密

echo MIIBRTCB7AIBATAKBggqhkjOPQQDAjCBlTELMAkGA1UEBhMCQ04xEDAOBgNVBAcTB0JlaWppbmcxKTAnBgNVBAoTIFBhcGVyRHJhZ29uIFRlY2hub2xvZ3kgQ28uLCBMdGQuMSMwIQYDVQQLExpJbnRlcm1lZGlhdGUgQ0EgRGVwYXJ0bWVudDEkMCIGA1UEAxMbUGFwZXJEcmFnb24gSW50ZXJtZWRpYXRlIENBFw0yNDExMTYxNjIzMzZaFw0yNTA5MTIxNjIzMzZaMACgIzAhMB8GA1UdIwQYMBaAFJAzuMyI4AKwil7C6Xj4rPVln4AvMAoGCCqGSM49BAMCA0gAMEUCIQC0xb6UcoCMT5Z7GD6avEbWnRxvdAPVmMZPZqUavmw0YwIgdbF7gsCgF6fUNZm2HXNEzxvHALp0A3WqD20p+13/7X0= | base64 -d > crl.der

这是我们获取了人类无法读取的数据流 crl.der

第二层解密为pem文件

openssl crl -inform DER -in crl.der -outform PEM -out crl.pem

这时我们得到了pem文件如下

-----BEGIN X509 CRL-----
MIIBRjCB7AIBATAKBggqhkjOPQQDAjCBlTELMAkGA1UEBhMCQ04xEDAOBgNVBAcT
B0JlaWppbmcxKTAnBgNVBAoTIFBhcGVyRHJhZ29uIFRlY2hub2xvZ3kgQ28uLCBM
dGQuMSMwIQYDVQQLExpJbnRlcm1lZGlhdGUgQ0EgRGVwYXJ0bWVudDEkMCIGA1UE
AxMbUGFwZXJEcmFnb24gSW50ZXJtZWRpYXRlIENBFw0yNDExMTYxNjMyMjFaFw0y
NDExMjMxNjMyMjFaMACgIzAhMB8GA1UdIwQYMBaAFJAzuMyI4AKwil7C6Xj4rPVl
n4AvMAoGCCqGSM49BAMCA0kAMEYCIQCn8fMuUiVjNrB6m082QRP4muCVkqE/beTX
56lLYe2P9wIhALrbC6BiaTlxG66vmnDIANCFGrQavpbQ9utJDTG/fBHv
-----END X509 CRL-----

第三次解密为明文

openssl crl -in crl.pem -noout -text

得到数据如下

openssl crl -in crl.pem -noout -text
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: C = CN, L = Beijing, O = "PaperDragon Technology Co., Ltd.", OU = Intermediate CA Department, CN = PaperDragon Intermediate CA
        Last Update: Nov 16 16:32:21 2024 GMT
        Next Update: Nov 23 16:32:21 2024 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                90:33:B8:CC:88:E0:02:B0:8A:5E:C2:E9:78:F8:AC:F5:65:9F:80:2F
No Revoked Certificates.
    Signature Algorithm: ecdsa-with-SHA256
    Signature Value:
        30:46:02:21:00:a7:f1:f3:2e:52:25:63:36:b0:7a:9b:4f:36:
        41:13:f8:9a:e0:95:92:a1:3f:6d:e4:d7:e7:a9:4b:61:ed:8f:
        f7:02:21:00:ba:db:0b:a0:62:69:39:71:1b:ae:af:9a:70:c8:
        00:d0:85:1a:b4:1a:be:96:d0:f6:eb:49:0d:31:bf:7c:11:ef

第二层加密和第三层加密合集

这里我们使用 DER 格式输入,并输出为文本格式。

openssl crl -inform DER -in crl.der -noout -text

同样直接得到目标的数据

openssl crl -inform DER -in crl.der -noout -text
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: C = CN, L = Beijing, O = "PaperDragon Technology Co., Ltd.", OU = Intermediate CA Department, CN = PaperDragon Intermediate CA
        Last Update: Nov 16 16:32:21 2024 GMT
        Next Update: Nov 23 16:32:21 2024 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                90:33:B8:CC:88:E0:02:B0:8A:5E:C2:E9:78:F8:AC:F5:65:9F:80:2F
No Revoked Certificates.
    Signature Algorithm: ecdsa-with-SHA256
    Signature Value:
        30:46:02:21:00:a7:f1:f3:2e:52:25:63:36:b0:7a:9b:4f:36:
        41:13:f8:9a:e0:95:92:a1:3f:6d:e4:d7:e7:a9:4b:61:ed:8f:
        f7:02:21:00:ba:db:0b:a0:62:69:39:71:1b:ae:af:9a:70:c8:
        00:d0:85:1a:b4:1a:be:96:d0:f6:eb:49:0d:31:bf:7c:11:ef

一键解密脚本

curl --location --request GET 'http://83.229.120.34:8888/api/v1/cfssl/crl?expiry' | jq -r '.result' | base64 -d | openssl crl -inform DER -noout -text

结果是

curl --location --request GET 'http://83.229.120.34:8888/api/v1/cfssl/crl?expiry' | jq -r '.result' | base64 -d | openssl crl -inform DER -noout -text
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   495  100   495    0     0   139k      0 --:--:-- --:--:-- --:--:--  161k
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: ecdsa-with-SHA256
        Issuer: C = CN, L = Beijing, O = "PaperDragon Technology Co., Ltd.", OU = Intermediate CA Department, CN = PaperDragon Intermediate CA
        Last Update: Nov 16 16:36:22 2024 GMT
        Next Update: Nov 23 16:36:22 2024 GMT
        CRL extensions:
            X509v3 Authority Key Identifier: 
                90:33:B8:CC:88:E0:02:B0:8A:5E:C2:E9:78:F8:AC:F5:65:9F:80:2F
No Revoked Certificates.
    Signature Algorithm: ecdsa-with-SHA256
    Signature Value:
        30:45:02:20:26:c6:50:ad:51:71:c6:cf:62:b7:13:33:a5:04:
        d3:c5:82:50:79:08:3d:b7:5b:3b:27:39:77:e6:5d:89:dc:69:
        02:21:00:ec:eb:b2:2e:29:12:50:44:59:e0:83:da:22:ab:15:
        77:f9:a2:42:8d:3c:de:55:9a:b8:12:81:e3:35:ed:dd:3a