- 博客(45)
- 收藏
- 关注
RSS订阅原创 【知识星球迎新】渗透测试,python编写poc完全从0到1
欢迎来到我的知识星球你能收获星球规划你能收获渗透测试从0到1,星主会一直更新,该星球记录的是自己一步步学习,从大学毕业到现在的笔记和学习心得,只要在网络安全这条路上,会一直保持更新,并将学习心得记录分享。我的星球只会让你赚。耐下心来,看下身前或者身后,可以看到同在路上一起攀爬的人啊!星球规划知识点:HTML、JavaScript、python、php等基础知识1.信息收集2.穷举爆破3.文件上传4.SQL注入(mysql、sqlserver、oracle…)5.漏洞利用(XSS、文件包
2021-11-28 14:14:40
3824
原创 centos安装yum命令(真实成功案例)
第一步:http://mirrors.163.com/centos/7/os/x86_64/Packages/到上面这个网站去下载如下RPM包(为版本号,根据最新的自己替换即可)python-iniparse-.noarch.rpmyum-metadata-parser-.x86_64.rpmyum-.centos.noarch.rpmyum-plugin-fastestmirror-*.noarch.rpm下载完成之后,用rpm命令进行安装,如下:rpm -ivh --force --no
2021-10-15 17:03:19
2949
原创 centos7 更换默认源为阿里源
这里写目录标题方法其他源方法1、备份源 mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup 2、下载新的 CentOS-Base.repo 到 /etc/yum.repos.d/ wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo 3、非阿里云ECS用户会出现 C
2021-10-15 17:02:19
556
原创 扫描神器-nmap速查笔记
1. 全面扫描/综合扫描nmap -A 192.168.1.1032. Ping扫描nmap -sP 192.168.1.1/243. 免Ping扫描,穿透防火墙,避免被防火墙发现nmap -P0 192.168.1.1034. TCP SYN Ping 扫描nmap -PS -v 192.168.1.103nmap -PS80,10-100 -v 192.168.1.103 (针对防火墙丢弃RST包)5. TCP ACK Ping 扫描nmap -PA -v 192.168.1
2021-09-08 14:27:34
278
原创 数据库注入语句速查,期待收藏(分享才能最好的学习)
数据库注入语句的收集和学习联合查询注入使用场景报错型注入使用场景布尔盲注使用场景时间盲注使用场景SQLMap Payload联合查询注入使用场景页面上有显示位什么是显示位: 在一个在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数 据展示在页面中,这个展示数据的位置就叫显示位 。Payload1、判断当前数据表中有几列:?id=1’ order by 数值 --+2、查看显示位在第几列(假设一共三列):?id=-1’ union select 1,2,
2021-08-31 17:32:02
507
原创 有趣的漏洞原理——点击劫持(可爱的小猫居然想要和你吹一瓶?)
有趣的漏洞原理——点击劫持环境介绍进入正题搞定它危害!如何预防!环境介绍点击劫持是一种通过将链接伪装成其他东西来诱使网站用户点击有害链接的方法。点击劫持攻击诱使网络用户执行他们不打算执行的操作,通常是通过在用户认为他们正在执行的操作之上呈现一个不可见的页面元素。网页里有个小猫的视频,点击它会正常开始播放视频进入正题假设你的代码是下面这样。<html> <head> <style> body { position:
2021-08-31 15:14:18
382
原创 有趣的漏洞原理——命令执行
有趣的漏洞原理——命令执行环境介绍进入正题搞定它!危害!如何预防尽量避免命令行调用正确转义输入限制允许的命令执行彻底的代码审查以受限权限运行环境介绍远程代码执行是一个重大的安全漏洞,也是完成系统接管的最后一步。许多网站使用命令行调用来读取文件、发送电子邮件和执行其他本机操作。如果您的站点将不受信任的输入转换为shell命令,您需要注意清理输入。1、一个dns查找站点,存在命令执行漏洞。2、输入域名,返回nslookup结果3、看下后端代码,通过domain参数来传递进入正题
2021-08-30 17:43:14
200
原创 有趣的漏洞原理——XSS注入
有趣的漏洞原理——XSS注入环境介绍进入正题搞定它危害如何预防转义动态内容白名单值仅限 HTTP 的 Cookie环境介绍跨站脚本(XSS) 是黑客用来攻击网站的最常见方法之一。XSS 漏洞允许恶意用户在其他用户访问您的站点时执行任意的 JavaScript 块。1、假如你有一个爱分享生活的网页,别人输入的评论也会存在后端,以方便展示给其他人观看进入正题2、如果没有对用户输入做限制的话,那。。。就有点危险了,正常会试用跨站脚本窃取cookie,从而允许会话劫持alert 弹窗显示
2021-08-30 17:16:52
556
原创 有趣的漏洞原理——SQL注入(你的数据真的安全吗?)
有趣的漏洞原理——SQL注入环境介绍进入正题搞定它危害!如何预防!参数化语句转义输入其他注意事项最小特权原则密码散列第三方认证利用sql注入环境介绍SQL 注入是一种注入攻击。当攻击者提交恶意制作的输入,导致应用程序执行意外操作时,就会发生注入攻击。由于SQL数据库无处不在,SQL 注入是 Internet 上最常见的攻击类型之一。1、我们会通过这个例子来了解下sql注入,一个简单的登录窗口2、通过日志观察与应用程序交互时会发生什么进入正题3、我们随便猜测下密码,看看日志会记录什么?
2021-08-30 16:21:38
422
原创 Linux黑操作——隐藏技术(权限维持)
Linux的隐藏技术前言隐藏文件隐藏权限隐藏历史操作命令只针对你的工作关闭历史记录从历史记录中删除指定的命令进程隐藏如何在Linux中发现隐藏的进程?前言假如在linux系统,攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,介不就是非常可怕了嘛!!!隐藏文件Linux 下创建一个隐藏文件:touch .test.txttouch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件 而且使用命令ls-l是查看不出来的,只能查看到文件及文件夹,查看Linux下
2021-08-21 16:11:56
1389
原创 正则表达式Get——快速入门正则表达式语言
了解正则表达式,匹配字符你不怕正则表达式????入门,入入入门怎么匹配指定单词怎么匹配某个字符,后面再连上另一个字符二级目录三级目录????入门,入入入门怎么匹配指定单词\b是正则表达式规定的一个特殊代码,代表着单词的开头或结尾,也就是单词的分界处。虽然通常英文的单词是由空格,标点符号或者换行来分隔的,但是\b并不匹配这些单词分隔字符中的任何一个,它只匹配一个位置。如果要精确地查找hi这个单词的话,我们应该使用\bhi\b怎么匹配某个字符,后面再连上另一个字符假如你要找的是hi后面不远处跟着
2021-08-19 22:51:31
274
原创 python入门小脚本--适合新手食用(四)
python入门小脚本-适合新手食用python入门小脚本python调用nmap扫端口并判断相应端口是否有web服务思路代码如下python调用nmap扫端口并判断相应端口是否有web服务今天和大家说一下python的request库,还是比较重要的一项。今天的目的是,通过代码实现,调用nmap扫描开放端口,并访问对应端口的响应存活状态,并将结果输出到txt文档思路安装python-nmap库安装requests库先代码如下import nmapimport requestsnm
2021-08-15 23:29:32
162
原创 Linux——Vim命令详解,详妈妈给详开门——详到家了
linux--VI/VIM第一步,把冰箱打开第二步,看看猪蹄冻好了吗必会各种插入模式简单的移动光标第三步,发现张毛了,是个老手了linux文本编辑器,用过都说好。第一步,把冰箱打开启动Vim后,需要进入 Insert 模式,按下键 i 就可以输入文本了,简单方便快捷好用如想返回命令模式,按 ESC 键返回,简单方便快捷好用可以来回切换几下,皮一皮就会了。常用的几条命令,建议焊死i Insert 模式,按 ESC 回到命令模式.x 删当前光标所在的一个字符。:wq 存盘 + 退出 (
2021-08-14 22:16:00
185
原创 漏洞系列之——CORS配置错误
CORS配置错误漏洞描述漏洞等级漏洞危害易受攻击的示例:漏洞描述API 域存在站点范围的 CORS 错误配置。这允许攻击者代表用户发出跨源请求,因为应用程序没有将 Origin 标头列入白名单并且具有 Access-Control-Allow-Credentials: true 意味着我们可以使用受害者的凭据从攻击者的站点发出请求。漏洞等级高危漏洞危害BURP HEADER> Origin: https://evil.comVICTIM HEADER> Access-Control
2021-08-14 21:53:31
14081
原创 渗透测试流程关注点,需要Get
渗透测试流程关注点信息收集域名信息who is 信息google hackip旁注CDN服务器/组件指纹服务器信息泄露漏洞挖掘应用层前端SQL越权访问bypass目录文件远程命令执行漏洞利用权限提升前提EXP信息收集后门日志清扫经验总结信息收集域名信息who is 信息google hackip旁注CDN服务器/组件指纹服务器信息泄露漏洞挖掘应用层前端SQL越权访问bypass目录文件远程命令执行漏洞利用权限提升
2021-08-12 11:02:20
773
转载 网络常见状态码大全。收藏这一篇就够了(HTTP Status Code)
网络常见状态码大全2开头(请求成功)3开头(请求被重定向)4开头(请求错误)5开头(服务器错误)————————————————————————————————————————————2开头(请求成功)表示成功处理了请求的状态代码。2开头(请求成功)200[成功]服务器已成功处理了请求。 通常,这表示服务器提供了请求的网页。201[已创建]请求成功并且服务器创建了新的资源。202[已接受]服务器已接受请求,但尚未处理。203[非授权信息]服务器已成功处理
2021-08-09 20:33:38
5006
原创 python入门小脚本--适合新手食用(三)
python入门小脚本--适合新手食用1、信息加密---简单版思路:2、生成随机验证码思路3、序列判断思路:python入门小脚本–适合新手食用1、信息加密—简单版给你个小写英文字符串a和一个非负数b(0<=b<26), 将a中的每个小写字符替换成字母表中比它大b的字母。这里将字母表的z和a相连,如果超过了z就回到了a。思路:ord()函数是 chr() 函数(对于8位的ASCII字符串)或 unichr() 函数(对于Unicode对象)的配对函数例:print ord('a)
2021-08-07 16:43:15
805
1
原创 python入门小脚本--适合新手食用(二)
python入门小脚本–适合新手食用python入门小脚本1、将一个字符串全部转换为小写,格式不变思路:2、一年有多少天?输入年份,返回天数思路:3、判断是否有相同数字思路:4、判断三角形思路:5、降序排序思路:6、判断是否为合法ip思路:1、将一个字符串全部转换为小写,格式不变思路:有手就行a = 'CHINA,NO1'print(a.lower())输出结果:china,no12、一年有多少天?输入年份,返回天数思路:输入一个年份,如果可以被4整除且不能被100整除。或者能被4
2021-08-04 23:27:28
579
1
原创 python入门小脚本--适合新手食用(一)
python入门小脚本–适合新手食用python入门小脚本1、用*号打印一个立三角形思路:2、列出1到100之间的素数思路:3、打印一个99乘法表思路:4、计算从1到100的整数和思路:5、从两个列表中找出相加等于10的组合思路:6、银行利息存款翻倍思路:1、用*号打印一个立三角形思路:输出10行,递增到5,然后递减for i in range(11): if i<=5: print("* " *i) else: print("* "*
2021-08-04 18:42:02
264
原创 反思!声明!今天之前我写的博客都是垃圾文,我要反思,太垃圾了。应该精益求精,知识点写全的。
反思文反思!声明!今天之前我写的博客都是垃圾文,我要反思,太垃圾了。应该精益求精,知识点写全的。反思!声明!今天之前我写的博客都是垃圾文,我要反思,太垃圾了。应该精益求精,知识点写全的反思!声明!今天之前我写的博客都是垃圾文,我要反思,太垃圾了。应该精益求精,知识点写全反思!声明!今天之前我写的博客都是垃圾文,我要反思,太垃圾了。应该精益求精,知识点写反思!声明!今天之前我写的博客都是垃圾文,我要反思,太垃圾了。应该精益求精,知识点反思!声明!今天之前我写的博客都是垃圾文,我要反思,太垃圾了。应
2021-07-30 19:48:59
275
3
原创 计算机网络基础--必须了解
网络基础计算机通信网的组成通信协议三个要素OSI七层模型简介物理层数据链路层网络层传输层会话层表示层应用层计算机通信网的组成计算机网络由通信子网和资源子网组成。其中通信子网负责数据的无差错和有序传递,其处理功能包括差错控制、流量控制、路由选择、网络互连等。其中资源子网是计算机通信的本地系统环境,包括主机、终端和应用程序等, 资源子网的主要功能是用户资源配置、数据的处理和管理、软件和硬件共享以及负载 均衡等。总的来说,计算机通信网就是一个由通信子网承载的、传输和共享资源子网的各类信息的系统。通信协议
2021-07-29 21:07:54
94
原创 XSS漏洞的利用
XSS的利用利用XSS窃取cookieXSS修改网页XSS获取用户信息XSS+CSRF 组合拳盲打XSS(Blind XSS)利用开启HttpOnly下的利用1.phpinfo页2.框架钓鱼3.跳转钓鱼4.历史密码5.获取源码6.通过xss伪造oauth等授权请求,远程登录其它利用XSS窃取cookie窃取cookie是xss利用最常见的手段,攻击者有了cookie就相当于拥有了“管理员”身份。通常需要配合xss平台来进行攻击,当被攻击者访问到有恶意代码的页面,他的cookie就会被发送到xss平台。
2021-07-29 17:22:51
5043
原创 BUUCTF——web([GXYCTF2019]Ping Ping Ping、[极客大挑战 2019]Knife、[极客大挑战 2019]Http)
BUUCTF-web[GXYCTF2019]Ping Ping Ping做题思路[GXYCTF2019]Ping Ping Ping做题思路打开看题目熟悉的样子,ping本地加查看命令,得到两个php文件接着查看一下文件内容奇奇怪怪的是,我发现空格被过滤了。好家伙,百度找了找,直呼好家伙,构造payload,...
2021-07-16 18:06:34
327
原创 BUUCTF——web([极客大挑战 2019]Secret File、[ACTF2020 新生赛]Exec、[极客大挑战 2019]LoveSQL)
BUUCTF-web[极客大挑战 2019]Secret File做题思路[ACTF2020 新生赛]Exec做题思路[极客大挑战 2019]LoveSQL做题思路[极客大挑战 2019]Secret File做题思路所以说,江路远 是谁啊??根据元素里面提示,我们去这个页面看一看有点恐怖啊兄弟们,来到了这个页面。我们继续深究下点secret,接着看,。然后他告诉查阅结束,关键提示点来了啊。他说没看清???那肯定是我们忽略了什么。再来一遍,。这回我们抓包。看看每个包里的内容。在一个重
2021-07-16 15:15:33
1113
1
原创 盘点一些经常问到的渗透测试问题(干干干嚯嚯嚯货货货)答疑详解
打算整理一下经常碰到的问题,打算了快一个月,打算写了。先写个标题吧。无脑干货肝帝附体。近万字总结怎样进行信息收集1、要收集什么信息2、常用的在线工具3、信息收集思路4、谷歌语法5、怎么绕CDN找真实IP网络&&端口服务1、TCP与UDP的区别2、端口服务3、各种端口对应的协议&&漏洞漏洞原理及分类1、SQL注入原理2、SQL注入类型简述3、sql常用注入方式4、sql注入绕waf5、XSS的类型和区别6、可以用XSS搞哪些事情?7、XSS和CSRF的区别8、有http o
2021-07-15 16:06:30
800
1
原创 BUUCTF——web([极客大挑战 2019]Havefun、[强网杯 2019]随便注、[ACTF2020 新生赛]Includ)
BUUCTF-web[极客大挑战 2019]Havefun做题思路[强网杯 2019]随便注做题思路[ACTF2020 新生赛]Includ做题思路可食用,有助消化,促进身心健康,早睡早起[极客大挑战 2019]Havefun做题思路一起来撸猫啊!根据元素里面的提示,需要用get请求,cat=dog。那就可以构建payload : ?cat=dog成功吃鸡为啥猫要等于狗呢?不理解。。[强网杯 2019]随便注做题思路这个来我的博客看,和bmzctf题一样,,我没偷懒!传送门
2021-07-13 17:39:20
418
2
原创 BUUCTF——web(WarmUp、[极客大挑战 2019]EasySQL)
BUUCTF-webwarmUp(考点;PHP 代码审计)做题思路[极客大挑战 2019]EasySQL做题思路(考点:苟住,猥琐发育)题目可食用,不慌。warmUp(考点;PHP 代码审计)做题思路直接参考我的博客,才发现两个靶场题目一样传送门:题解地址[极客大挑战 2019]EasySQL做题思路(考点:苟住,猥琐发育)图片有点小帅乍一看是个登录sql考点,试试万能密码,1’or 1=1 or ‘1’='1#哦,它出来了。好吧,挖能密码的意思是,可以把查找语句拼接成后
2021-07-13 16:19:34
402
原创 漏洞进阶之——XSS万能超级无敌全通杀payload
XSS万能超级无敌全通杀payloadpayload——payload————————————————抱歉起的名字猖狂了点,我认,但我不改——————————————payload——payload——
2021-07-10 16:22:38
2981
原创 BMZCTF——web(hitcon_2017_ssrfme)
BMZCTF——webhitcon_2017_ssrfme解题思路法尔??解题思路所有题目wp都经过实践。可放心食用。hitcon_2017_ssrfme解题思路打开题目,看到下面代码,尝试了解所表达的意思。定义一个变量sandbox,沙箱。路径则是在字符串orange加上所访问的ip地址,php使用$_SERVER[“REMOTE_ADDR”]获取访问IP地址(浏览器输入ip就能看到)。可以先测试一波,url随便写,再加上条件文件名构造payload:?url=1&filena
2021-07-09 11:35:23
304
原创 BMZCTF——web(hctf、随便注、ezeval)
BMZCTF——webhctf_2018_warmup做题思路强网杯 2019 随便注做题思路三级目录hctf_2018_warmup做题思路打开题目链接,F12查看元素,看到注释有source.php,访问看看访问目录得到一个php代码,不妨看一看他要表达什么。 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)
2021-07-06 14:20:44
606
2
原创 漏洞系列之——命令注入
命令注入漏洞描述漏洞等级漏洞危害漏洞检测方法漏洞利用方法漏洞修复方案漏洞描述命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞。该类漏洞通常出现在调用外部程序完成一些功能的情景下。比如一些Web管理界面的配置主机名/IP/掩码/网关、查看系统信息以及关闭重启等功能,或者一些站点提供如ping、nslookup、提供发送邮件、转换图片等功能都可能出现该类漏洞。漏洞等级高危漏洞危害漏洞检测方法漏洞利用方法漏洞修复方案4.5.2. 常见危险函数4.5.2.1. PHPsyste
2021-07-05 10:43:15
674
原创 漏洞系列之——CSRF
了解CSRF漏洞描述漏洞等级漏洞危害漏洞检测方法漏洞修复方案漏洞描述跨站请求伪造 (Cross-Site Request Forgery, CSRF),也被称为 One Click Attack 或者 Session Riding ,通常缩写为CSRF,是一种对网站的恶意利用。尽管听起来像XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。漏洞等级高危漏洞危害以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账
2021-07-03 10:27:30
352
原创 漏洞系列之——SQL注入
了解SQL注入漏洞描述漏洞等级漏洞危害漏洞检测方法漏洞利用方法漏洞修复方案SQL注入靶场环境可以参考“热门靶场怕坑练习”的sqli-labs漏洞描述SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。漏洞等级高危漏洞危害SQL注入的危害不仅体现在数据库层面上,还有可能危及承载数据
2021-06-27 21:26:26
429
原创 漏洞系列之——XSS
XSS跨站脚本漏洞XSS分类XSS全称为Cross Site Scripting,为了和CSS分开简写为XSS,中文名为跨站脚本。该漏洞发生在用户端,是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。XSS分类4.2.1.2. 反射型XSS反射型XSS是比较常见和广泛的一类,举例来说,当一个网站的代码中包含类似下面的语句:<?php echo "hello, $_GET['user']";?> ,那么在访
2021-06-27 21:21:21
429
原创 漏洞系列之——目录遍历
1.2 目录遍历漏洞漏洞描述目录遍历漏洞在国内外有许多不同的叫法,也可以叫做信息泄露漏洞、非授权文件包含漏洞等。目录遍历是针对Windows IIS和Apache的一种常见攻击方法,它可能让攻击者访问受限制的目录,通过执行cmd.exe /c命令来提取目录信息,或者在Web服务器的根目录以外执行命令。目录遍历漏洞可能存在于Web服务器软件本身,也可能存在于Web应用程序之中。目录遍历攻击比较容易掌握,要执行一个目录遍历攻击,攻击者所需要的只是一个web浏览器,并且掌握一些关于系统的缺省文件和目录所存在
2021-06-27 19:03:24
1170
原创 overthewire靶场之——bandit(11-20)
bandit,主要练习linux命令Level 10 → Level 11关卡介绍:解决方案:Level 11 → Level 12关卡介绍:解决方案:Level 12 → Level 13关卡介绍:解决方案:Level 13 → Level 14关卡介绍:解决方案:Level 14 → Level 15关卡介绍:解决方案:Level 15 → Level 16关卡介绍:解决方案:Level 16 → Level 17关卡介绍:解决方案:Level 17 → Level 18关卡介绍:解决方案:Level
2021-06-17 16:55:03
5022
2
原创 网络安全特训之——网络信息安全攻防学习平台(基础关)
网络信息安全攻防学习平台(基础关)一、key在哪里项目场景:解决方法:二、再加密一次你就得到key啦项目场景解决方法:三、猜猜这是经过了多少次加密项目场景:解决方法:四、据说MD5加密很安全,真的是么项目场景:解决方法:五、种族歧视项目场景:解决方法:六、HAHA浏览器项目场景:解决方法:七、key究竟在哪里呢项目场景:解决方法:八、key又找不到了项目场景:解决方法:九、冒充登陆用户项目场景:解决方法:十、比较数字大小项目场景:解决方法:十一、本地的诱惑项目场景:解决方法:十二、就不让你访问项目场景:解决
2021-06-16 12:08:14
5420
原创 overthewire靶场之——bandit(1-10)
bandit,主要练习linux命令Level 0关卡介绍:解决方案:Level 0 → Level 1关卡介绍:解决方案:Level 1 → Level 2关卡介绍:解决方案:Level 2 → Level 3关卡介绍:解决方案:Level 3 → Level 4关卡介绍:解决方案:Level 4 → Level 5关卡介绍:解决方案:Level 5 → Level 6关卡介绍:解决方案:Level 6 → Level 7关卡介绍:解决方案:Level 7 → Level 8关卡介绍:解决方案:Level
2021-06-15 23:38:29
2366
原创 网络安全特训之——网络信息安全攻防学习平台(选择题)
系列文章目录提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加例如:第一章 Python 机器学习入门之pandas的使用提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言提示:这里可以添加本文要记录的大概内容:例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。提示:以下是本篇文章正文内容,下面案例
2021-06-11 15:45:10
2886
5
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人