這個smb 0day漏洞出了很久了，由于包子工作實在是太忙，一直沒有花心思關注它。該漏洞影響vista、windows7和windows 2008，EXP現在想必大家手上該有的也有了，有人測試過可以很好的攻擊vista和2008。

先說說內網滲透吧。在滲透的過程里，第一個需要面對的問題就是：我們如何快速定位到windows 2008、windows7和vista。我這里提供兩個思路：


1、掃描windows SMB的版本，例如windows7就是6.1（如下圖），工具大家自己去找找吧；為了和諧，包子就不透露可以掃SMB版本的程序名稱了。

2、如果你找不到SMB版本掃描器，你可以嘗試掃描IIS的版本。這個方法相對簡單也準確，80的掃描器多了去了。

順帶提醒一下，大范圍掃描很容易觸發(fā)警報，特別是在這個特殊的時期，說不定是安全工作者放長線釣大魚的時候，一掃就被發(fā)現了。我相信滲透經驗豐富的你一定可以通過非掃描的途徑發(fā)現網絡里啥機器是可以動的 ：）

至于防御思路很簡單也很復雜：封135-139,445端口。

封這幾個端口方法也很多，大概說說其中利弊：

1、通過路由交換設備封。長處是不需要操作終端，不容易出問題，終端用戶也無法修改策略；短處是封堵顆粒太大，無法做到全PC到PC的訪問控制。還有如果有例外的用戶，操作和審計起來也相當麻煩。如果你可以強制下發(fā)此策略，并且安全容忍度高，這個是最優(yōu)選擇。

2、通過本機的防火墻來封堵，例如SEP、MCAFEE等。長處是可以統一下發(fā)策略，例外用戶也好控制；短處是系統有可能需要為此付出性能代價。

3、通過activex控制ipsec策略封堵。長處是統一下發(fā)、例外靈活、控制點細致、控制力度強、對系統影響?。欢烫幨怯脩粲锌赡荜P閉IPSEC服務，但這個短處是可以很好的規(guī)避的：初次安裝自動開啟ipsec服務，定期通過外部掃描或者OA系統上調用activex檢查和開啟ipsec服務。當然，如果你有域的話，也可以通過域來實現。