安全加固之weblogic屏蔽T3协议

已于 2024-01-05 16:47:04 修改
阅读量2.1k 收藏 13
点赞数 7
分类专栏: 安全运维 文章标签: 安全 网络 服务器 中间件
于 2024-01-05 16:45:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vincent0920/article/details/135413006
版权
本文详细介绍了如何通过配置WebLogicServer的连接筛选器来限制T3协议访问,防止因反序列化漏洞被攻击。操作步骤包括配置连接筛选器规则,允许特定IP并禁止其他所有IP,以及处理重启问题和配置文件检查。
摘要由CSDN通过智能技术生成

一、前言

   开放weblogic控制台的7001端口,默认会开启T3协议服务,T3协议则会触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。

   本文介绍通过控制T3协议的访问限制来临时阻断反序列化漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,此连接筛选器接受所有 传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制。

二、操作步骤

1、配置连接筛选器
进入Weblogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点 击“筛选器”,进入连接筛选器配置。
框1处输入weblogic.security.net.ConnectionFilterImpl
框2处输入连接筛选器规则
连接筛选器规则说明:

系统限制实例:
192.168.1.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s
注:放通的地址应是集群内所有节点的ip地址(受控节点可以在server菜单下查看)
如果受控节点不止一台主机,则每个主机一条规则
最后一行(0.0.0.0/0 * * deny t3 t3s)不可缺少
2、完成上面步骤之后请记得找时间重启domain内的所有节点
3、问题记录

    部分主机在配置完成后,重启Admin服务后发现配置消失的情况。出现此类情况,请在kill
掉Admin服务之后,查看weblogic配置文件config.xml里 <security-configuration>节点下是否有以下条目,如果没有,请手工添加后再启动服务。

<connection-filter>weblogic.security.net.ConnectionFilterImpl</connection filter>
<connection-filter-rule>192.168.1.1 * * allow t3 t3s</connection-filter-rule>
<connection-filter-rule>0.0.0.0/0 * * deny t3 t3s</connection-filter-rule>

有莘不破呀
关注
  • 7
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
0xSec
02-11 5345
WebLogic存在远程代码执行漏洞,该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。
weblogic t3协议配置_【漏洞预警】WebLogic高危漏洞预警(CVE-2019-2891、CVE-2019-2890)...
weixin_39636691的博客
12-12 185
文章来源:阿里云2019年10月16日,阿里云应急响应中心监测到Oracle官方发布安全公告,披露WebLogic服务器存在多个高危漏洞,包括反序列化等。黑客利用漏洞可能可以远程获取WebLogic服务器权限,风险较大。漏洞描述CVE-2019-2891中,未经授权的攻击者可以通过精心构造的HTTP请求向Console组件发起请求,从而接管WebLogic服务器。CVE-2019-2890中,未经...
weblogic t3协议配置_Weblogic T3、IIOP协议批量禁用
weixin_39598308的博客
12-12 8836
近期各地各行业护网运动开展如火如荼,各系统、中间件、数据库、开源软件层面漏洞层出不穷,另相关的维护专业这苦不堪言。本文要讲的就是与weblogic中间件近期不断被曝出的T3协议、IIOP协议0day漏洞有关。在护网期间,官方补丁又未更新的情况下,能做的可能就是通过及时的禁用相关的协议,以达到漏洞修复的目的,但是通常任务紧、时间短、实例数量又众多的情况下,我们如何快速的做到对实例进行批量的...
weblogicT3协议反序列化复现
san3144393495的博客
04-26 355
Weblogic Server中的RMI 通信使用T3协议Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机。攻击者可以通过T3协议发送恶意的的反序列化数据, 进行反序列化, 实现对存在漏洞的weblogic组件的远程代码执行攻击。端口是JRMP Server:是端口。开始构造pyload。进行base64加密。
weblogic t3协议配置_漏洞风险提示 | WebLogic 多个高危漏洞
weixin_39948824的博客
12-03 1178
长亭漏洞风险提示 WebLogic 多个高危漏洞Oracle 官方在 10 月 20 日发布了重要补丁更新 CPU(Critical Patch Update),修复了多个 WebLogic 高危漏洞:https://www.oracle.com/security-alerts/cpuoct2020.html此次安全更新中修复了由长亭科技安全研究员 V...
WebLogic安全配置_weblogic安全配置
2401_84254530的博客
04-12 498
为防止恶意的攻击,使得攻击者难以找到数据库并将其定位,使用 HTTP 协议的设备, 应更改 WebLogic服务器默认端口。 加固方法:登录控制台选择[环境]–>[服务器]–>服务器选择–>[配置]–>[一般信息],勾选"启用监听端口",并修改默认端口号为非7001的数值(例如:8001)。查看weblogic安装目录下的weblogic.properties配置文件,将weblogic.httpd.indexDirectories=false设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用
weblogic反序列化之T3协议
snowlyzz的博客
01-16 3272
T3反序列化学习
第48篇:Weblogic最新漏洞修复方法(禁用T3+IIOP协议
热门推荐
ABC_123的博客
01-27 12万+
Part1 前言大家好,我是ABC_123。春节前weblogic爆出了一个新的漏洞CVE-2023-21839,据说有攻击队曾用这个在野0day打穿了某银行目标。通过官方的漏洞描述来看,应该还是借助jndi来实现反序列化漏洞利用,所以此漏洞成功条件是目标一定要出网,而且T3或IIOP协议开放。与T3协议或IIOP协议相关的weblogic的0day漏洞近几年还会不断地公布出来,要想彻底解决这...
weblogic 使用的T3 协议
changyanmanman的专栏
06-30 5万+
T3也称为丰富套接字,是BEA内部协议,功能丰富,可扩展性好。T3是多工双向和异步协议,经过高度优化,只使用一个套接字和一条线程。借助这种方法,基于Java的客户端可以根据服务器方需求使用多种RMI对象,但仍使用一个套接字和一条线程。配置 T3 协议  1. 如果尚未执行此操作,请在管理控制台的更改中心中单击“锁定并编辑”。   2. 在管理控制台中,展开“环境”,然后选择“服务器”。   3.
weblogic t3协议配置_WebLogic 高危漏洞预警(CVE-2019-2891、CVE-2019-2890)
weixin_39984442的博客
12-12 700
黑客利用漏洞可能可以远程获取 WebLogic 服务器权限,风险较大。作者/来源: 安华金和Oracle 官方发布安全公告,披露 WebLogic 服务器存在多个高危漏洞,包括反序列化等。黑客利用漏洞可能可以远程获取 WebLogic 服务器权限,风险较大。漏洞描述CVE-2019-2891 中,未经授权的攻击者可以通过精心构造的 HTTP 请求向 Console 组件发起请求,从而接管 WebL...
Weblogic t3协议分析
YakProject的博客
11-06 581
abbrevs是一个栈,反序列化出来的对象被叫做abbrev,都会push进去,abbrev分三种,一种是普通的Object,一种是ImmutableObject,一种是ImmutableServiceContext,这三种Object前面都会有个前缀,区别是ImmutableObject类型是ClassTableEntry,有个ObjectStreamClass类型的成员属性descriptor(在反序列化时会先读取descriptor,再通过它创建一个空类,在设置field的值。
weblogic系统加固规范
06-20
weblogic系统加固规范,加强系统应用~!!!
WebLogic系统安全加固规范.doc
12-14
WebLogic系统安全加固规范是指对WebLogic系统进行安全加固的规范和标准,涵盖了账号管理、认证授权、日志配置、通信协议和设备其他安全要求等多个方面的安全加固要求。该规范的目的是为了确保WebLogic系统的安全和...
WebLogic系统安全加固操作教程.doc
最新发布
06-25
WebLogic系统安全加固是一项关键任务,涉及到多个方面的操作。以下是一个简要的安全加固教程概述: 1. **账号管理**: - 实施强密码策略和定期更改。 - 使用角色和权限分离,限制用户只能访问他们职责范围内的资源...
中间件安全Weblogic 安全加固规范.pdf
03-15
中间件安全Weblogic 安全加固规范
MyPrimavera在Weblogic8上启用安全协议
03-04
SSL 是Netscape 公司所提出的安全保密协议,在浏览器(如Internet Explorer、Netscape Navigator)和Web 服务器(如Netscape 的Netscape Enterprise Server、ColdFusion Server 等等)之间构造安全通道来进行数 ...
weblogic t3协议报错
心寒的博客
01-11 1374
Unable to connect to 't3://10.10.0.110:7011': Bootstrap to: sfile.test.com/t3://10.10.0.110:7011' over: 't3' got an error or timed out
weblogic反序列化之T3协议(CVE-2015-4582)
遇事不决冲冲冲
05-12 4385
基于T3协议weblogic反序列化漏洞 之前说过在weblogic里面其实反序列化漏洞利用中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞,这篇来分析一下基于T3协议weblogic,列出几个基于T3协议具有代表性的CVE: CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2018-2628、CVE-2020-2555、CVE-2020-2883,每个cve的思路大致都是基于上几个漏洞的补丁进行的一个绕过,本来想逐个分析,这里
Weblogic T3协议反序列化漏洞
来日可期的博客
12-09 1923
T3协议用于在Weblogic服务器和其他类型的Java程序之间传输信息的协议Weblogic会跟踪连接到应用程序的每个Java虚拟机,要将流量传输到Java虚拟机,Weblogic会创建一个T3连接。该链接会通过消除在网络之间的多个协议来最大化效率,从而使用较少的操作系统资源。用于T3连接的协议还可以最大限度减少数据包大小,提高传输速度。
weblogic 关闭t3协议
08-22
要关闭WebLogic中的T3协议,具体步骤取决于你使用的WebLogic版本。 对于WebLogic 12.1.3.0.0、WebLogic 12.2.1.3.0(12c)和WebLogic 14.x(14c)版本,可以按照以下步骤进行操作: 1. 打开WebLogic控制台。 2. 导航到“域”>“配置”>“通信”>“协议”。 3. 单击“HTTP”协议。 4. 在“HTTP协议属性”页面中,找到“高级”选项卡。 5. 在“高级”选项卡中,找到“协议”字段。 6. 将“协议”字段的值更改为除T3以外的其他值,比如HTTP。 7. 单击“应用”按钮以保存更改。 对于WebLogic 9.x和WebLogic 10.x(11g)版本,可以按照以下步骤进行操作: 1. 打开WebLogic控制台。 2. 导航到“域”>“通信”>“HTTP”。 3. 在“HTTP”页面中,找到“高级”选项卡。 4. 在“高级”选项卡中,找到“协议”字段。 5. 将“协议”字段的值更改为除T3以外的其他值,比如HTTP。 6. 单击“应用”按钮以保存更改。 请根据你使用的WebLogic版本选择适当的步骤进行操作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [关于weblogict3协议](https://blog.csdn.net/TT123456XY/article/details/93627700)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [第48篇:Weblogic最新漏洞修复方法(禁用T3+IIOP协议)](https://blog.csdn.net/m0_71692682/article/details/128774311)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值