盘点SoapUI调用Webservice接口踩过的坑

文章为山丘安全攻防实验室成员：O8原创

文章仅用于攻防技术学习，请勿用于非法用途

SOAPUI的作用

当然是用于调用Webservice接口的啦，渗透过程中，如果能获取到Webservice开放接口，说不定可以直接getshell哦！

安装

下载地址：https://www.soapui.org/
搭建说明：需要付费，建议支持正版。

使用SoapUi调用Webservice

先访问Webservice，然后将Webservice内容保存为xxx.wsdl文件，然后选择加载即可

坑点一 HTTPS请求没有响应包

配置SSL Client Auth

发现是HTTPS的请求

百度参考官方文档需要加载SSL Client Auth
官方文档：https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

查阅发现需要配置一个这个东西

坑点二 配置SSL Client Auth中*.jks文件到底是什么？

继续挖坑

刚开始百度说是需要导入一个证书才能发送HTTPS包，按照教程导出阿里的证书死活没找到。后来灵机一动想起了直接百度*.jks。

参考文章：https://www.jianshu.com/p/14add4a02ed6 
环境说明：需要安装java环境
keytool -genkey -alias O8 -keyalg RSA -validity 300000 -keystore O8.keystore

1. 其中参数-validity为证书有效天数，我们可以写的大写。
2. -alias后面是证书别名
3. 输入密码的时候没有显示，就输入就行了。退格,tab等都属于密码内容，这个密码等会咱们要在导入时候用到。
4. 输入这个命令之后会提示您输入秘钥库的口令
5. 接着是会提示你输入：姓氏，组织单 位名称，组织名称，城市或区域名称，省市，国家、地区代码，密钥口令。

确认正确输入y，回车

生成成功后在SOAPUI中导入keystore文件

测试一下

点击确定，然后尝试发送刚刚的HTTPS请求，发现响应成功。

参考文献

https://support.smartbear.com/readyapi/docs/projects/requests/ssl.html

https://www.jianshu.com/p/680a2c0494c2

https://www.jianshu.com/p/14add4a02ed6