专栏首页山丘安全攻防实验室盘点SoapUI调用Webservice接口踩过的坑

盘点SoapUI调用Webservice接口踩过的坑

文章说明:

文章为山丘安全攻防实验室成员:O8原创

文章仅用于攻防技术学习,请勿用于非法用途

SOAPUI的作用

当然是用于调用Webservice接口的啦,渗透过程中,如果能获取到Webservice开放接口,说不定可以直接getshell哦!

安装

下载地址:https://www.soapui.org/
搭建说明:需要付费,建议支持正版。

使用SoapUi调用Webservice

先访问Webservice,然后将Webservice内容保存为xxx.wsdl文件,然后选择加载即可

坑点一 HTTPS请求没有响应包

配置SSL Client Auth

发现是HTTPS的请求
百度参考官方文档需要加载SSL Client Auth
官方文档:https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

查阅发现需要配置一个这个东西

坑点二 配置SSL Client Auth中*.jks文件到底是什么?

继续挖坑

刚开始百度说是需要导入一个证书才能发送HTTPS包,按照教程导出阿里的证书死活没找到。后来灵机一动想起了直接百度*.jks。

参考文章:https://www.jianshu.com/p/14add4a02ed6 
环境说明:需要安装java环境
keytool -genkey -alias O8 -keyalg RSA -validity 300000 -keystore O8.keystore
  1. 其中参数-validity为证书有效天数,我们可以写的大写。
  2. -alias后面是证书别名
  3. 输入密码的时候没有显示,就输入就行了。退格,tab等都属于密码内容,这个密码等会咱们要在导入时候用到。
  4. 输入这个命令之后会提示您输入秘钥库的口令
  5. 接着是会提示你输入:姓氏,组织单 位名称,组织名称,城市或区域名称,省市,国家、地区代码,密钥口令。

确认正确输入y,回车

生成成功后在SOAPUI中导入keystore文件

测试一下

点击确定,然后尝试发送刚刚的HTTPS请求,发现响应成功。

参考文献

https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

https://www.jianshu.com/p/680a2c0494c2

https://www.jianshu.com/p/14add4a02ed6

本文分享自微信公众号 - 山丘安全攻防实验室(hillsec),作者:拓建森

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 密码重置漏洞骚思路分享(实战)

    昨天在挖edu的时候发现某高校有一个门户登录的页面 然后也是琢磨了半天想到个密码重置的骚操作 复现过程: 打开网页,这里有个忘记密码,点进去

    陈殷
  • 域渗透之NTML-Hash

    早期SMB协议在网络上传输明文口令。后来出现"LAN Manager Challenge/Response"验证机制,简称LM,它是如此简单以至很容易被破解。...

    陈殷
  • 较详细的阐述漏洞挖掘之信息收集(上篇)

    (github地址:https://github.com/lijiejie/subDomainsBrute)

    陈殷
  • Windows日志查看工具合集

    希望可以和大家多多交流。 平时在Linux下查看日志,使用tail、grep、find等命令还比较方便,后来需要在Windows中处理一些问题,发现缺少类似的功...

    用户1221057
  • 收藏丨学习数据科学不可错过的优质资源

    大约两个月前,我开始学习数据科学。我并没有统计学、数学、数据科学、工程学、经济学方面的学位。说实话,在学生时代,数学和统计并不是我的强项,我更擅长语言方面。

    CDA数据分析师
  • 如何系统的学习web前端开发?

    因为许多前端新人自学一段时间之后,就迷茫了,不知道学到了什么阶段,也不清楚接下来该往哪个方向学习。要知道前端开发的方向非常的多,相互之间的知识分叉也非常的多。

    web前端教室
  • 实现低成本接收解码韩国GK-2A气象卫星信号

    这几年玩了很多种 SDR 开发板,春节封路,在家闲着没事,也在尝试着玩各种天线,分析解码不同协议的无线信号,以此打发时间。

    FB客服
  • VS Code 中的自动完成

    vscode 1.6.x 发布了,有一系列的新特性,我个人比较开心见到 ts/js 语法着色有提升,我还专门搞了个 issue 吐槽过这个。

    IMWeb前端团队
  • VS Code 中的自动完成

    原文 vscode 1.6.x 发布了,有一系列的新特性,我个人比较开心见到 ts/js 语法着色有提升,我还专门搞了个 issue 吐槽过这个。 当然今天不...

    IMWeb前端团队
  • 那些有趣的网站系列(六)

    https://www.snapmail.cc/ 每次打开网站会生成一个临时邮箱https://www.snapmail.cc/#/emailList/pa...

    苏生不惑

扫码关注云+社区

领取腾讯云代金券