SoapUI调用Webservice接口踩过的坑

作者：山丘安全攻防实验室 O8

SOAPUI的作用

我当然是用于调用Webservice接口的啦，渗透过程中，如果能获取到Webservice开放接口，说不定可以直接getshell哦！

安装

下载地址：https://www.soapui.org/
搭建说明： 需要付费，当然也有破解的。建议支持正版。

使用SoapUi调用Webservice

先访问Webservice，然后将Webservice内容保存为xxx.wsdl文件，然后选择加载即可

坑点一 HTTPS请求没有响应包

配置SSL Client Auth

发现是HTTPS的请求
百度参考官方文档需要加载SSL Client Auth
官方文档：https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

查阅发现需要配置一个这个东西

坑点二 配置SSL Client Auth中*.jks文件到底是个什么东西？

继续挖坑

刚开始百度说是需要导入一个证书才能发送HTTPS包，按照教程导出阿里的证书死活没找到。后来灵机一动想起了直接百度*.jks。

参考文章：https://www.jianshu.com/p/14add4a02ed6
环境说明：需要安装java环境
keytool -genkey -alias O8 -keyalg RSA -validity 300000 -keystore O8.keystore

其中参数-validity为证书有效天数，我们可以写的大写。
-alias后面是证书别名
输入密码的时候没有显示，就输入就行了。退格,tab等都属于密码内容，这个密码等会咱们要在导入时候用到。
输入这个命令之后会提示您输入秘钥库的口令
接着是会提示你输入：姓氏，组织单 位名称，组织名称，城市或区域名称，省市，国家、地区代码，密钥口令。
确认正确输入y，回车

生成成功后在SOAPUI中导入keystore文件

测试一下

点击确定，然后尝试发送刚刚的HTTPS请求，发现响应成功。

参考文献

https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html
https://www.jianshu.com/p/680a2c0494c2
https://www.jianshu.com/p/14add4a02ed6

联系我？

联系我：[email protected]