SoapUI调用Webservice接口踩过的坑
SOAPUI的作用
我当然是用于调用Webservice接口的啦,渗透过程中,如果能获取到Webservice开放接口,说不定可以直接getshell哦!
安装
下载地址:https://www.soapui.org/
搭建说明: 需要付费,当然也有破解的。建议支持正版。
使用SoapUi调用Webservice
先访问Webservice,然后将Webservice内容保存为xxx.wsdl文件,然后选择加载即可
坑点一 HTTPS请求没有响应包
配置SSL Client Auth
发现是HTTPS的请求
百度参考官方文档需要加载SSL Client Auth
官方文档:https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html
查阅发现需要配置一个这个东西
坑点二 配置SSL Client Auth中*.jks文件到底是个什么东西?
继续挖坑
刚开始百度说是需要导入一个证书才能发送HTTPS包,按照教程导出阿里的证书死活没找到。后来灵机一动想起了直接百度*.jks。
参考文章:https://www.jianshu.com/p/14add4a02ed6
环境说明:需要安装java环境
keytool -genkey -alias O8 -keyalg RSA -validity 300000 -keystore O8.keystore
其中参数-validity为证书有效天数,我们可以写的大写。
-alias后面是证书别名
输入密码的时候没有显示,就输入就行了。退格,tab等都属于密码内容,这个密码等会咱们要在导入时候用到。
输入这个命令之后会提示您输入秘钥库的口令
接着是会提示你输入:姓氏,组织单 位名称,组织名称,城市或区域名称,省市,国家、地区代码,密钥口令。
确认正确输入y,回车
生成成功后在SOAPUI中导入keystore文件
测试一下
点击确定,然后尝试发送刚刚的HTTPS请求,发现响应成功。
参考文献
https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html
https://www.jianshu.com/p/680a2c0494c2
https://www.jianshu.com/p/14add4a02ed6