安全研究

前言

pty(pseudo terminal)又称伪终端,大家比较熟的可能是tty (Teletype),也就是计算机的终端设备。这篇文章就是阐述何为pty,pty本质是什么,为什么我们渗透的时拿到shell后需要获取pty,没有pty为什么处处受限。pty和tty的关系又是什么

tty

在说明pty之前,需要介绍一下tty,tty可以直接理解为终端,而介绍tty需要大概说明一下计算机的历史,tty全称为Teletypes(电传打字机),是通过串行线用打印机键盘通过阅读和发送信息的东西,后来这东西被键盘和显示器取代,所以现在叫终端比较合适。
下面是早期计算机通过电传打字机交互的模型

UART 驱动
如上图所示,物理终端通过电缆连接到计算机上的 UART(通用异步接收器和发射器)。操作系统中有一个 UART 驱动程序用于管理字节的物理传输。
线规
上图中内核中的 Line discipline(行规范)用来提供一个编辑缓冲区和一些基本的编辑命令(退格,清除单个单词,清除行,重新打印),主要用来支持用户在输入时的行为(比如输错了,需要退格)。
TTY 驱动
TTY 驱动用来进行会话管理,并且处理各种终端设备。

UART 驱动、行规范和 TTY 驱动都位于内核中,它们的一端是终端设备,另一端是用户进程。因为在 Linux 下所有的设备都是文件,所以它们三个加在一起被称为 "TTY 设备",即我们常说的 TTY。

再来看一个linux控制台的模型

虽然这个模型看上去没什么问题,但随着linux的发展,终端固定再内核层过于僵化,某些进程需要自主实现一个终端模拟器,比如ssh,xterm。而tty完全由内核接管。用户态无法使用tty的功能,于是linux提出将终端仿真移动至用户态,这就是pty的由来

当创建一个伪终端时,会在 /dev/pts 目录下创建一个设备文件:

如果是通过 PuTTY 等终端仿真程序通过 SSH 的方式远程连接 Linux,那么终端仿真程序通过 SSH 与 PTY master side 交换数据。

线规

线规(line discipline),线规是终端(tty)子系统的一部分。线规将底层设备驱动程序代码与高层通用接口例程(比如read,write等系统调用)粘合在一起,并负责实现与设备关联的语义。
例如,标准线规会根据类Unix系统上终端的要求,处理从硬件驱动程序和写入设备的应用程序接收到的数据。在输入时,它处理特殊字符,例如中断字符(通常为Control-C)以及擦除和杀死字符(通常分别为backspacedelete和Control-U),并且在输出时,它将所有LF字符替换为CR / LF序列。
通俗来讲,线规会把用户输入的某些特殊字符替换成真正用户想表达的语义,比如退格键代表删除一个字符。而不是输入一个退格键的ascii码进去。
所以,为什么我们在渗透的时候弹回来的shell,如果直接输入退格键会出现乱码,就是因为退格键没有经过线规的处理,被直接当做了一个字符。
PS:线规处于内核层

pty

如上所说,为了使应用程序能有效使用终端功能,操作系统提供了伪终端功能。那pty的实现是怎么样的呢
pty由master和slave两端构成,在任何一端的输入都会传达到另一端。与tty不同,系统中并不存在pty这种文件,它是由pts(pseudo-terminal slave)和ptmx(pseudo-teiminal master)两种设备文件来实现的。

pts

(pseudo-terminal slave)即伪终端的slave端。在Linux的/dev/pts/文件夹下有对应设设备文件。
我们可以通过tty命令查看当前用户的登录终端,如下图所示:

ubuntu@VM-32-73-ubuntu:/dev$ tty
/dev/pts/1

当我们设备文件/dev/pts/1进行输出时,屏幕上会显示相应输出:

ubuntu@VM-32-73-ubuntu:/dev$ echo hello >/dev/pts/1
hello

倘若访问别的slave文件,如/dev/pts/2,则会返回权限不足错误:(root例外)

ubuntu@VM-32-73-ubuntu:/dev$ echo hello >/dev/pts/2
-bash: /dev/pts/2: Permission denied

所以,如果我们拥有root权限,我们理论上可以控制任何伪终端的输出

ptmx

(pseudo-terminal master)
ptmx是伪终端的master端。在/dev下仅有2个ptmx文件,其信息如下:

ubuntu@VM-32-73-ubuntu:/dev$ ll /dev/ptmx
crw-rw-rw- 1 root tty 5, 2 Jan 16 16:38 /dev/ptmx
ubuntu@VM-32-73-ubuntu:/dev$ ll /dev/pts/ptmx
c--------- 1 root root 5, 2 Mar 17  2018 /dev/pts/ptmx

讲讲现象背后的故事
当ubuntu系统创建一个新的terminal时(比如上面的pts/1)
首先执行ptm = open('/dev/ptmx',...)操作
接下来fork(),然后child进程将打开'/dev/pts/1',dup2到0,1和2句柄上,随后执行execl启动一个shell.
pts = open('/dev/pts/1',...);
dup2(pts, 0); // 对应lib库中stdin
dup2(pts, 1); // 对应lib库中stdout
dup2(pts, 2); // 对应lib库中stderr
close(pts);
execl("/system/bin/sh", "/system/bin/sh", NULL);
// 这样sh输入数据将全部来自pts,
// sh的输出数据也都全部输送到pts,也就直接送到了打开ptmx的新terminal中.

新terminal将启动GUI,捕获按键数据,然后写入ptm,这样pts将收到数据,进而sh将从stdin中获得数据,
于是sh将作进一步运算,将结果送给stdout或stderr,进而送给pts,于是ptm获得数据,然后terminal的GUI
将数据显示出来.

terminal捕获到key按键值 <--> ptm <--> pts/1 <--> stdin <--> shell读到数据
shell数据结果 <--> stdout <--> pts/1 <--> ptm <--> terminal显示

因为是master - slaver,所以ptm只有一个,pts可以有多个
我们用一个ssh的图来看

+----------+       +------------+
 | Keyboard |------>|            |
 +----------+       |  Terminal  |
 | Monitor  |<------|            |
 +----------+       +------------+
                          |
                          |  ssh protocol
                          |
                          ↓
                    +------------+
                    |            |
                    | ssh server |--------------------------+
                    |            |           fork           |
                    +------------+                          |
                        |   ↑                               |
                        |   |                               |
                  write |   | read                          |
                        |   |                               |
                  +-----|---|-------------------+           |
                  |     ↓   |                   |           ↓
                  |   +--------+   +-------+    |       +-------+  fork   +-------------+
                  |   |  ptmx  |<->| pts/0 |<---------->| shell |-------->| tmux client |
                  |   +--------+   +-------+    |       +-------+         +-------------+
                  |   |        |                |                               ↑
                  |   +--------+   +-------+    |       +-------+               |
                  |   |  ptmx  |<->| pts/2 |<---------->| shell |               |
                  |   +--------+   +-------+    |       +-------+               |
                  |     ↑   |  Kernel           |           ↑                   |
                  +-----|---|-------------------+           |                   |
                        |   |                               |                   |
                        |w/r|   +---------------------------+                   |
                        |   |   |            fork                               |
                        |   ↓   |                                               |
                    +-------------+                                             |
                    |             |                                             |
                    | tmux server |<--------------------------------------------+
                    |             |
                    +-------------+

需要注意的是,由于pts是slave端,所以不支持一对多,如果我们在linux中开启两个终端分别是pts1 和 pts2
如果我们再pts2中执行 cat /dev/pts/1命令,然后我们在pts1终端中输入字符,可以发现一部分字符会回显再pts1端上,另一部分的字符会会显在pts2上。我画个图就很好理解为什么了
图片.png
当我们在pts1中输入数据时,输入流从ptmx传递给pts1在传递给bash,bash会把用户输入原样返回给输出流。这时候pts1接收到bash返还给的输出,但此时有两个应用程序在等待pts1的返回。一个是ptmx,一个是pts2下的cat进程(其实应该是pts2下bash的子进程)。于是此时就发生了数据争夺。linux内核调度器根据当时情况随时都会将他们中的一个调出或者调入,因此数据就出现了一部分被送到了pts/2的cat命令,另一部分被送到了pts1的shell,

终端与伪终端的区别

至此我们可以得出这样的结论:现在所说的终端已经不是硬件终端了,而是软件仿真终端(终端模拟软件)。
关于终端和伪终端,可以简单的理解如下:

  • 真正的硬件终端基本上已经看不到了,现在所说的终端、伪终端都是软件仿真终端(即终端模拟软件)
  • 一些连接了键盘和显示器的系统中,我们可以接触到运行在内核态的软件仿真终端(tty1-tty6)
  • 通过 SSH 等方式建立的连接中使用的都是伪终端
  • 伪终端是运行在用户态的软件仿真终端

制作rootkit

上一篇文章留下来的坑https://evoa.me/index.php/archives/64/
我们试试能不能制作一个rootkit,负责记录所有pty的输入输出,这样当我们拿下一台linux主机之后。我们就可以监控所有终端的输入输出。包括其他用户ssh连上来的和在此机器上通过ssh连别的机器的所有输入输出。
但是可惜的是,我搜遍了几乎所有,都没有找到一个完美的解决方案,唯一能让我稍微满意的,就是通过strace命令监控io系统调用。
于是我写了一个很丑的脚本,勉强能完成上诉需求。
怎么实现呢,原理很简单,一般来说pty是由一个进程来控制的,那么我们只要知道这个进程的进程id(pid),那么通过strace获取这个进程的io系统调用,write(1)代表输出,read(0)代表输入(文件描述符),然后通过正则获取参数,就可以获取pty的所有系统调用了
优点:

  1. 可以获取连接到此机器的所有伪终端的输入输出。包括不限于telnet,ssh,本地终端
  2. 可以获取到连接到此机器的基础上,在通过telnet,ssh等连接到别的机器时所有的输入输出(可无限循环)
  3. 可以获取到不回显至终端的输入(比如sudo时输入的密码,mysql连接时的密码)

缺点:

  1. 必须拥有root权限,否则只能获取和当前用户同一pty的进程的输入输出
  2. 严重依赖ptrace系统调用和strace命令
  3. echo 0 > /proc/sys/kernel/yama/ptrace_scope,当然root权限可以更改此选项

由于代码过丑,存在很多bug,我暂时就不贴出来和放在github了,等有时间写个go版本的用原生系统调用实现

大概说一下我的实现细节:

  1. 主程序第一次运行时,执行ps -ef获取当前系统所有pty进程,
  2. 删除与自身pty一样的进程
  3. 然后使用多进程或多线程运行strace命令依次获取这些进程的系统调用内容。
  4. 用正则获取所有的输入和输出,筛选(这部分很细节)
  5. 主程序运行第一次ps -ef以后会轮询ps -ef,如果发现新产生的pty进程,继续3步骤
  6. 把输入输出输出到文件或终端

说起来很容易,但是很多细节很麻烦

  1. 进程中还会有子进程,子进程还有子进程,会出现子进程退出主进程没退出或者主进程退出子进程还没从全局列表删去这些问题
  2. strace可以自动追踪子进程,但是可能和主程序的轮询冲突。
  3. trace附加到的进程无法获取父进程的输入输出,strace先附加进程,然后这个进程再产生子进程的话,strace可以追踪到,但是如果strace附加之前这个进程就已经产生的子进程,strace附加后无法获取到。
  4. write系统调用除了输出到1文件描述符会实现回显,输入到0标准输入也有回显,2标准错误也有回显,还可以直接输出到/dev/pts/x 还可以输出到/dev/tty
  5. dup2系统调用会复制一个文件描述符,我们需要追踪这个系统调用,然后判断复制的文件描述符是否是标准输入 标准输出 标准错误。需要实现一个全局列表记录
  6. close会关闭一个文件描述符,后续可能会有open或openat系统调用打开文件描述符,可能前一秒这个文件描述符是存在的,后一秒就被关闭了,再后一秒又被重新打开了并且指向发生了改变,这些都需要进行追踪

所以。。。具体实现细节过于麻烦,这也导致了我写的很难受

后话

如果想要我的残次品脚本的也可以私我。功能确实实现了,就是一堆bug

参考:
https://www.jianshu.com/p/11c01003211b
https://en.wikipedia.org/wiki/Line_discipline
http://www.linusakesson.net/programming/tty/
https://segmentfault.com/a/1190000009082089
https://www.cnblogs.com/sparkdev/p/11460821.html
https://blog.csdn.net/zhoucheng05_13/article/details/86510469

Comment

This is just a placeholder img.