前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >盘点SoapUI调用Webservice接口踩过的坑

盘点SoapUI调用Webservice接口踩过的坑

作者头像
陈殷
发布2020-03-06 11:38:52
2.5K0
发布2020-03-06 11:38:52
举报
文章被收录于专栏:山丘安全攻防实验室
文章说明:

文章为山丘安全攻防实验室成员:O8原创

文章仅用于攻防技术学习,请勿用于非法用途

SOAPUI的作用

当然是用于调用Webservice接口的啦,渗透过程中,如果能获取到Webservice开放接口,说不定可以直接getshell哦!

安装

代码语言:javascript
复制
下载地址:https://www.soapui.org/
搭建说明:需要付费,建议支持正版。

使用SoapUi调用Webservice

代码语言:javascript
复制
先访问Webservice,然后将Webservice内容保存为xxx.wsdl文件,然后选择加载即可

坑点一 HTTPS请求没有响应包

配置SSL Client Auth

代码语言:javascript
复制
发现是HTTPS的请求
代码语言:javascript
复制
百度参考官方文档需要加载SSL Client Auth
官方文档:https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

查阅发现需要配置一个这个东西

坑点二 配置SSL Client Auth中*.jks文件到底是什么?

继续挖坑

刚开始百度说是需要导入一个证书才能发送HTTPS包,按照教程导出阿里的证书死活没找到。后来灵机一动想起了直接百度*.jks。

代码语言:javascript
复制
参考文章:https://www.jianshu.com/p/14add4a02ed6 
环境说明:需要安装java环境
keytool -genkey -alias O8 -keyalg RSA -validity 300000 -keystore O8.keystore
  1. 其中参数-validity为证书有效天数,我们可以写的大写。
  2. -alias后面是证书别名
  3. 输入密码的时候没有显示,就输入就行了。退格,tab等都属于密码内容,这个密码等会咱们要在导入时候用到。
  4. 输入这个命令之后会提示您输入秘钥库的口令
  5. 接着是会提示你输入:姓氏,组织单 位名称,组织名称,城市或区域名称,省市,国家、地区代码,密钥口令。

确认正确输入y,回车

生成成功后在SOAPUI中导入keystore文件

测试一下

点击确定,然后尝试发送刚刚的HTTPS请求,发现响应成功。

参考文献

https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

https://www.jianshu.com/p/680a2c0494c2

https://www.jianshu.com/p/14add4a02ed6

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-09-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 山丘安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • SOAPUI的作用
    • 安装
      • 使用SoapUi调用Webservice
      • 坑点一 HTTPS请求没有响应包
      • 配置SSL Client Auth
        • 继续挖坑
          • 测试一下
          相关产品与服务
          SSL 证书
          腾讯云 SSL 证书(SSL Certificates)为您提供 SSL 证书的申请、管理、部署等服务,为您提供一站式 HTTPS 解决方案。
          领券
          问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档