這個smb 0day漏洞出了很久了，由于包子工作實在是太忙，一直沒有花心思關注它。該漏洞影響vista、windows7和windows 2008，EXP現在想必大家手上該有的也有了，有人測試過可以很好的攻擊vista和2008。

先說說內網滲透吧。在滲透的過程里，第一個需要面對的問題就是：我們如何快速定位到windows 2008、windows7和vista。我這里提供兩個思路：


1、掃描windows SMB的版本，例如windows7就是6.1（如下圖），工具大家自己去找找吧；為了和諧，包子就不透露可以掃SMB版本的程序名稱了。

2、如果你找不到SMB版本掃描器，你可以嘗試掃描IIS的版本。這個方法相對簡單也準確，80的掃描器多了去了。

順帶提醒一下，大范圍掃描很容易觸發警報，特別是在這個特殊的時期，說不定是安全工作者放長線釣大魚的時候，一掃就被發現了。我相信滲透經驗豐富的你一定可以通過非掃描的途徑發現網絡里啥機器是可以動的 ：）

至于防御思路很簡單也很復雜：封135-139,445端口。

封這幾個端口方法也很多，大概說說其中利弊：

1、通過路由交換設備封。長處是不需要操作終端，不容易出問題，終端用戶也無法修改策略；短處是封堵顆粒太大，無法做到全PC到PC的訪問控制。還有如果有例外的用戶，操作和審計起來也相當麻煩。如果你可以強制下發此策略，并且安全容忍度高，這個是最優選擇。

2、通過本機的防火墻來封堵，例如SEP、MCAFEE等。長處是可以統一下發策略，例外用戶也好控制；短處是系統有可能需要為此付出性能代價。

3、通過activex控制ipsec策略封堵。長處是統一下發、例外靈活、控制點細致、控制力度強、對系統影響小；短處是用戶有可能關閉IPSEC服務，但這個短處是可以很好的規避的：初次安裝自動開啟ipsec服務，定期通過外部掃描或者OA系統上調用activex檢查和開啟ipsec服務。當然，如果你有域的話，也可以通過域來實現。