SoapUI调用Webservice接口踩过的坑

SoapUI调用Webservice接口踩过的坑

  • 作者:山丘安全攻防实验室 O8
  • SOAPUI的作用
    • 安装
    • 使用SoapUi调用Webservice
  • 坑点一 HTTPS请求没有响应包
    • 配置SSL Client Auth
  • 坑点二 配置SSL Client Auth中*.jks文件到底是个什么东西?
    • 继续挖坑
    • 测试一下
  • 参考文献
  • 联系我?

作者:山丘安全攻防实验室 O8

SOAPUI的作用

我当然是用于调用Webservice接口的啦,渗透过程中,如果能获取到Webservice开放接口,说不定可以直接getshell哦!

安装

下载地址:https://www.soapui.org/
搭建说明: 需要付费,当然也有破解的。建议支持正版。

使用SoapUi调用Webservice

先访问Webservice,然后将Webservice内容保存为xxx.wsdl文件,然后选择加载即可

SoapUI调用Webservice接口踩过的坑_第1张图片
SoapUI调用Webservice接口踩过的坑_第2张图片

坑点一 HTTPS请求没有响应包

SoapUI调用Webservice接口踩过的坑_第3张图片

配置SSL Client Auth

发现是HTTPS的请求
百度参考官方文档需要加载SSL Client Auth
官方文档:https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

查阅发现需要配置一个这个东西
SoapUI调用Webservice接口踩过的坑_第4张图片

坑点二 配置SSL Client Auth中*.jks文件到底是个什么东西?

继续挖坑

刚开始百度说是需要导入一个证书才能发送HTTPS包,按照教程导出阿里的证书死活没找到。后来灵机一动想起了直接百度*.jks。

参考文章:https://www.jianshu.com/p/14add4a02ed6
环境说明:需要安装java环境
keytool -genkey -alias O8 -keyalg RSA -validity 300000 -keystore O8.keystore

SoapUI调用Webservice接口踩过的坑_第5张图片

其中参数-validity为证书有效天数,我们可以写的大写。
-alias后面是证书别名
输入密码的时候没有显示,就输入就行了。退格,tab等都属于密码内容,这个密码等会咱们要在导入时候用到。
输入这个命令之后会提示您输入秘钥库的口令
接着是会提示你输入:姓氏,组织单 位名称,组织名称,城市或区域名称,省市,国家、地区代码,密钥口令。
确认正确输入y,回车

SoapUI调用Webservice接口踩过的坑_第6张图片
生成成功后在SOAPUI中导入keystore文件
SoapUI调用Webservice接口踩过的坑_第7张图片

测试一下

点击确定,然后尝试发送刚刚的HTTPS请求,发现响应成功。
SoapUI调用Webservice接口踩过的坑_第8张图片

参考文献

https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html
https://www.jianshu.com/p/680a2c0494c2
https://www.jianshu.com/p/14add4a02ed6

联系我?

联系我:[email protected]

你可能感兴趣的:(安全基础随笔)