• 博客(59)
  • 收藏
  • 关注

原创 ITDR何以成为IAM的最佳搭档?

具体而言,正如 EDR 对端点设备的行为进行分析,ITDR通过AI 和机器学习技术,对以Active Directory 和 Okta为代表的身份基础设施上交换的身份验证流量的行为进行分析。即使您能够使用IAM等尽可能适当地设置公司的身份基础设施环境,毫不夸张地说,想要完全阻止攻击者通过巧妙的方法入侵您的身份基础设施是不可能的。此外,在多AD和域环境中实现灵活的身份访问管理的Okta等各种IAM解决方案的采用和引入,以及向Azure AD的迁移以及SSO向SaaS的迁移也在逐步发展。

2023-07-17 16:03:01 306

原创 K8S安全风险及防护建议

例如,攻击者可以创建一个特权容器,该容器可以访问宿主机上的资源,并在该容器内执行命令,从而使其获得更高的权限。事中,通过融合图计算、身份欺骗等技术,对K8S进行全方位的监测,及时发现针对K8S的漏洞利用、身份窃取等风险,在遭受攻击的第一时间及时发现攻击者,对攻击行为进行阻断。比如攻击者可通过容器中运行的SSH服务执行命令,如果攻击者通过暴力破解或者其他方法获得了容器的有效凭证,他们就可以通过SSH获得对容器的远程访问。但同时,K8S也因其高度复杂的架构和众多组件,成为了攻击者攻击的目标之一。

2023-07-17 15:06:29 1038

原创 攻防演练中红队常用的攻击方法之横向移动(下)

启动域防火墙能阻止DCOM对象实例化。通过以上手段,我们能有效防止黑客从系统中窃取明文密码,但是当黑客窃取到了用户凭据,使用哈希传递等手段登录系统时,并没有一个能彻底解决哈希传递的方法,我们只能减轻这种攻击。尤其是在企业等组织机构中,由于内网的复杂性,攻击团伙的手段也比较高超,一般的防护手段不能有效地防范横向移动攻击,要保护企业内网安全,最好选择专业的运营团队。如果攻击者已进入内网,为了防止他横向移动到更多主机,我们可以监测内网中活跃的用户账号,将这些账户设置为高风险账户,降低其权限,阻止其使用内网资源。

2023-07-05 18:11:34 402

原创 攻防演练中红队常用的攻击方法之横向移动(中)

尤其是主机RDP相关的弱口令,这类系统远控桌面服务的弱口令一旦被黑客利用,就能通过“撞库”等方式暴力破解,进而实现内网计算机的远程控制。例如,在前不久的美国燃油管道勒索攻击事件中,darkside攻击团伙从文件、内存和域控制器中收集凭据,并利用这些凭据来登录其它主机,再对重要数据和控制端口进行加密,进而实施勒索。黑客为了造成更大影响,通常选择重要的信息系统,如金融、电信、交通、能源等计算机系统,利用横向移动进行大面积网络攻击,导致系统瘫痪,严重影响基本的社会生活。黑客横向移动的手段已经非常成熟。

2023-07-05 18:11:01 435

原创 攻防演练中红队常用的攻击方法之横向移动(上)

实际上,在横向移动攻击过程中,攻击者不仅可以运用相关技术与思路访问共享文件夹、凭证等敏感信息,也可以通过“横向移动”的方法渗透其它主机,窃取商业数据、财务信息等。除此以外,还能以域控主机为跳板,横向移动到其它域内主机,通过已获取的密码直接登录目标主机,执行远程命令,完成域内控制,进而以关键信息与权限为由,实施勒索行为。此时,黑客会在已控制的普通主机上查找与目标主机和环境相关的信息,获知目标主机开放的端口、存在的漏洞等,然后利用该漏洞渗透目标主机获取凭证,再使用哈希传递、黄金白银票据等方式进行登录。

2023-07-05 18:09:56 904

原创 中安网星版大模型来了!三大关键能力,不输专业红队攻击手

通过已经识别到的攻击对即将发生的攻击进行预警,企业可以提前做好准备,加强系统和网络的安全防护措施,阻止潜在的攻击行为,并保护重要的业务和敏感数据。其次,ITDR提供了风险提示功能。同时凭借自身强大的算力以及庞大的攻击数据样本可以就当前基线配置,进行攻击推演拟合出攻击线路,运营人员可以采取针对性的措施来加固安全防护,斩断攻击路径中的关键节点,保护其关键资产免受攻击的同时避免对业务的流畅性造成影响。通过与预先设定的基线进行比对,模型能够及时发现与正常状态有所偏离的设置,从而识别出潜在的安全漏洞和风险点。

2023-06-29 13:39:19 355 1

原创 集权设施管理-AD域安全策略(二)

本文我们探讨了AD域的资源管理、身份验证和策略配置等功能属性,此基础上,更多特性等着我们在企业应用实践中一一探索。同时,AD域在发展得越来越适应企业管理需求时,也面临着更多针对它的独特攻击手法。在大量应用AD域的基础上,我们也应当注重其安全防护建设。

2023-06-14 10:19:25 1409

原创 集权设施管理-AD域安全策略(一)

实际上,域树域林的形成是借助了活动目录强大的拓展性。简单来说,域树、域林是多个域的集合,从概念上来看,域树、域林代表了更大范围的信任联系,能协调更多部门间的通信和资源使用关系,更大程度上提高企业整体的协作效率。除此之外,额外域控还有一个重要作用,就是提高效率,它可以在有许多域用户要求提供服务时,替主域控分担压力,由它来响应部分用户的请求,从而提高企业整体效率。更为棘手的是,假使黑客攻破了域控主机,删除其上存储的全部信息,并破坏域控主机的正常功能,那么即使企业能够检测查杀入侵活动,也无法恢复正常业务功能。

2023-06-14 10:16:03 1345

原创 RSAC2023:ITDR成为下一代身份安全平台的关键能力

但在对抗更激烈的攻防场景下,实际的攻击者一定会试图绕过登录,绕过IAM,绕过二次验证,最终一定会获取到一个合法的用户身份实现在内网中横向移动。近几个月,风靡全球的ChatGpt让人们看到,人工智能的发展有了质的飞跃,预示着无限可能,RSA首席执行官Rohit Ghai在RSAC2023上也特别提到了AI对于身份安全变革的重要意义。而ITDR的重心更多的是放在安全这一侧,通过检测用户的真实身份,检测用户是否在盗用凭证发起攻击,从身份认证协议上去解析出攻击者的异常行为,进而实时检测出攻击事件。

2023-06-09 11:54:29 166

原创 集权攻防——身份认证协议之NTLM

如果用做菜来比喻,那么被加密的数据就是“原材料”,加密密钥就是“秘方”,原理就是“用不同的秘方做出来的菜味道不一样”。当秘方只有客户端和服务端知道,服务端确定用户身份时,只需要用该秘方和客户端做同一盘菜,对比两盘菜的味道,如果一样,那就是真实的客户端。但NTLM的认证方式也不是绝对安全的,基于密码哈希的认证方式,让攻击者在不需要获取明文密码的情况下,也能直接传递密码哈希通过认证。由上可见,无论哪种情况下,NTLM在认证过程中,都没有在网络上单独传递密码,这减少了密码泄露的可能,提高了系统安全性。

2023-06-08 14:41:22 996

原创 从RPC协议看集权设施防护

相比于HTTP等传输协议,RPC将数据序列化成二进制,直接在传输层上与服务端交互,极大地提高了传输效率。并且使用存根来管理RPC的底层过程,让客户端和服务端的交互变得透明,从而为用户提供了方便。不过,抛开传输效率的便利,RPC中同样也存在很多安全威胁,比如Zerologon(CVE-2020-1472)、Printnightmare(CVE-2021-34527)等,攻击者利用这些漏洞,可以直接通过RPC协议连接服务器,并向其发送恶意代码,从而获取控制目标服务器的权限,这也是使用协议时要提防的一个方向。

2023-06-08 13:56:29 572

原创 集权设施攻防兵法:实战攻防之堡垒机篇

2.2021年攻防演练期间,某互联网公司堡垒机遭受攻击,攻击者利用任意用户登录漏洞对齐治堡垒机实施攻击,获得齐治堡垒机的后台管理权限,控制了大量的内网机器。1.能够针对堡垒机的敏感以及异常操作进行实时监测,如漏洞利用、异常时间点认证、异地登录、访问非常用资源等,让管理员在第一时间感知攻击者对堡垒机的漏洞利用、执行的敏感操作。1)攻击者首先通过堡垒机的历史漏洞甚至是堡垒机的0day漏洞对堡垒机实施攻击,比如通过绕过认证直接访问堡垒机的web控制台,获取堡垒机的web管理权限。

2023-06-06 10:32:55 949

原创 2023年「身份安全」行业白皮书、研究报告、案例合集速览!

随着企业将其业务向数字化、云和移动化转变,身份的数量、类型都呈爆炸式增长。这也带来了全新维度的威胁格局,如果保护不当,可能会为攻击者提供更多可利用的攻击路径。虽然许多工具和技术旨在保障身份安全,但身份威胁检测和响应(ITDR)技术为企业提供了其武器库中的关键新武器,通过结合。等方式,可以发现凭据窃取、特权滥用以及其他与身份相关的攻击威胁和潜在风险。为了帮助大家更好地了解ITDR技术,我们搜集了。2)ITDR发展趋势及典型应用。1)ITDR基础知识与概述。3)ITDR实践案例研究。

2023-06-01 15:07:58 302

原创 集权攻击系列:如何利用PAC新特性对抗黄金票据?

2021年11月9日,微软发布了针对CVE-2021-42287漏洞的修复补丁,跟据微软的文章描述,此次更新后,在PAC中添加了一个新属性PAC_REQUESTORKDC将会在PAC的PAC_REQUESTOR结构体填充原始请求者的SID,并且在TGS_REQ过程验证请求用户(cname)是否和PAC_REQUESTOR中的SID相匹配。在后续的TGS请求中KDC会将TGT中的PAC直接复制到返回给用户的ST票据中,最终由服务向KDC申请验证该PAC来确认用户是否有权访问该服务。微软将整个更新过程分为。

2023-06-01 14:57:42 796

原创 常见的ACL攻击方式,集权设施如何防御攻击?

ace_type为“OA”,对应ACCESS_ALLOWED_OBJECT_ACE_TYPE,表示是ALLOW类型的ACE,rights字段为“WP”,表示目录服务对象访问权限,对于权限值是ADS_RIGHT_DS_WRITE_PROP,表示目录对象写权限,object_guid表示权限的guid,account_sid标识这条ACE受托人的SID字符串。约束委派和非约束委派的配置需要域管理员对相关属性进行配置,微软为了给域用户提供更大的灵活性,让域内资源所有者能够配置哪些账户是可信的,并允许委派给他们。

2023-06-01 14:21:36 1015

原创 [原创]集权设施保护之LDAP协议

系统中的树还有一个不一样的地方,就是各种不同品种的树叶可以长在一棵树上,这个不同品种的树叶是由系统中多种多样的资源对象来充当的,所以我们可以想象一棵长满了用户、计算机和打印机的树。树叶内容主要是描述这片树叶的颜色、形状、气味等独特的信息,对应到系统中,就是资源的属性,比如用户的属性有性别,身份证号,电话等,计算机的属性有操作系统类型、账号密码等。LDAP中将域名拆分开,形成树根,系统中的树根叫做DC,比如在test20.local域下,树根为DC=test20,DC=local。

2023-05-30 17:47:13 836

原创 身份集权设施保护之Kerberos协议

Kerberosting需要选择简单的key,在三种爆破对象中,也就是用户账户,机器账户,服务账户,在比较安全的域中用户账户的安全性会比较高,而机器账户密码是随机生成的,而且三十天更换一次,只有服务账户会出现弱口令的情况,因为在服务部署的时候往往会产生一个固定密码,而且可能从来不去改,所以优先选择服务账户,机器账户也是特殊的服务账户,因为它也有SPN,SPN是唯一标识符,就像下图中的格式,可以理解为代表了特定的服务,SPN只要符合格式,不管服务存不存在都可以用来进行密码爆破。而该属性默认是没有勾选上的。

2023-05-30 17:28:55 929

原创 集权安全 | 域渗透中的 DCSync技术分析

DCSync是AD域渗透中常用的凭据窃取手段,默认情况下,域内不同DC每隔15分钟会进行一次数据同步,当一个DC从另外一个DC同步数据时,发起请求的一方会通过目录复制协议(MS- DRSR)来对另外一台域控中的域用户密码进行复制,DCSync就是利用这个原理,“模拟”DC向真实DC发送数据同步请求,获取用户凭据数据,由于这种攻击利用了Windows RPC协议,并不需要登陆域控或者在域控上落地文件,避免触发EDR告警,因此DCSync时一种非常隐蔽的凭据窃取方式。

2023-05-26 11:42:22 1224

原创 集权攻击-无权限条件下AD域凭据获取与利用分析

我们简单回顾服务票据的请求流程,当域内用户去请求域内某个服务资源时,先会通过AS-REQ进行身份认证,通过后会返回TGT给用户,用户使用TGT发起TGS请求,KDC会返回一个用对应服务账户的Hash加密的服务票据。那么如果我们有一个域用户的凭据可以正常申请TGT,就可以申请指定服务的TGS票据,因该票据使用服务账户的Hash进行加密,当获取到加密后的TGS票据后,即可根据离线爆破得到服务账户的密码,这样请求服务账号票据进行离线爆破的攻击手法叫做Kerberoasting。而该属性默认是没有勾选上的。

2023-05-25 17:21:28 1262

原创 集权设施攻防兵法:实战攻防之Exchange篇

比如,它可以配置邮箱委托,将某个重要的邮箱委托到他所控制的一个不常用的邮箱,这样就可以在不需要凭据的情况下任意查看那个重要邮箱的所有邮件。然而,它也时常受到攻击。比如,在没有凭据的情况下,攻击者可能会尝试利用Proxylogon、Proxyshell等攻击链对Exchange实施攻击,如果攻击成功,能够拿到Exchange的system权限。2.针对CVE漏洞的利用实时监测,目前已经覆盖对Exchange的所有历史漏洞进行实时的攻击检测,确保在针对Exchange的任何漏洞攻击发生时可以看到攻击行为。

2023-05-25 15:52:43 990

原创 浅谈IAM——OAuth2.0攻击方法总结

参数注入主要包括SQL注入和XSS,OAuth协议交互和客户端注册中涉及到多种参数传递过程,如果在服务端没有进行恰当的过滤和验证,很有可能就会出现参数注入漏洞,比如在一些OAuth实现中直接将客户端注册填写的redirect_url渲染到html页面,或者是将code参数直接用字符串拼接的方式带入到SQL查询语句中,这些不安全的实现都会导致意外的事故。整个过程中应用仅仅使用了OpenId作为鉴权的参数,但是由于OpenId是一个相对固定的参数,一旦泄露出去,这里就会产生认证绕过的风险。

2023-05-24 13:11:05 653

原创 数据安全事件频发,特权账号安全管理势在必行

可利用的身份风险使攻击者能够获得初始访问权限,在网络上让他们的权限得以维持,提升他们的权限,逃避防御,并加速他们的横向移动,直到他们完全控制目标。未经管理的身份风险可能表现的形式为过时的本地管理员密码,使用临时或测试管理员账户,或没有应用账户管理解决方案的本地管理员,等等。不幸的是,Illusive 研究表明,所有组织都容易受到攻击,并且1/6的终端具有至少一种可利用的身份风险。更糟糕的是,这个管理账户的凭据是由一个软件部署代理使用的,这使断开的会话暴露在整个组织中,那么每一个终端都有暴露账户的最高权限。

2023-05-18 18:11:47 245

原创 从ADCS证书服务器攻击中看集权安全(下)

如果攻击者通过窃取或恶意申请方式获得了具有域身份验证功能的证书,那么在证书的有效期内,攻击者便可以利用该证书进行对AD的身份验证。如“注册权限和协议”部分所述,对于已发布的模板,存在一种特殊的“证书注册”扩展权限,用于定义允许在证书中进行注册的主体。有效期决定了颁发的证书可以被使用的时间,续订期则是在证书过期之前的一段时间窗口,在此期间,账户可以向颁发证书机构申请证书的更新。默认的用户模板发放的证书有效期为一年,证书管理员可能会修改到期时间来延长使用期限,并且如果攻击者使用此类的恶意模板注册证书,

2023-05-18 17:14:13 234

原创 集权设施攻防兵法:实战攻防之AD篇

四大制胜锦囊,守住攻防实战的安全大门

2023-05-18 16:48:52 479

原创 IAM的主流身份验证方法之OIDC协议

OpenID Connect(简称OIDC)是一种安全认证机制,第三方应用连接到身份认证服务器(Identify Service)获取用户信息,并把这些信息以安全可靠的方式返回给第三方应用。OAuth2.0通过Access Token作为向第三方应用授权访问自身资源的凭证。

2023-05-16 18:07:54 839 1

原创 从ADCS证书服务器攻击中看集权安全(上)

(2)当client发送身份信息给AS后,AS会先向活动目录AD请求,询问是否有此Client用户,如果有的话,就会取出它的 NTLM-Hash,并对 AS_REQ 请求中加密的时间戳进行解密,如果解密成功,则证明客户端提供的密码正确,如果时间戳在五分钟之内,则预认证成功。接着从-----BEGIN RSA PRIVATE KEY-----到-----END CERTIFICATE-----复制出来,保存为ESC1.pem,然后利用openssl来转换为ESC1.pfx,无需设置密码。

2023-05-11 14:38:57 225

原创 集权设施攻防兵法:实战攻防之vCenter篇

四大攻击路径拆解,让黑客“原形毕露”。

2023-05-10 18:35:38 331

原创 IAM的主流身份验证方法之SAML协议

下面是SAML签名的示例。最后处理的逻辑就是验证第一个Assertion,由于是合法的,可以通过验证,但是返回的是第二个也就是伪造的Assertion,如果通过验证的是一个低权限用户,那么就可以伪造一个高权限的用户Assertion来实现认证绕过和权限提升。然后是伪造管理用户Assertion,这个工具通过编写一个SAML响应模板,并且响应中的Assertion部分填写的都是管理员的属性,在ID、签发时间、域名等动态参数做了标记,然后进行填充,就得到了一个伪造的SAML响应。

2023-05-10 17:21:46 643

原创 IAM单点登录之CAS协议分析

集中式认证服务(Central Authentication Service,简称CAS)是一种针对web应用的单点登录协议,旨在为 Web 应用系统提供一种可靠的单点登录方法,它允许一个用户访问多个应用程序,而只需向认证服务器提供一次凭证(如用户名和密码)。这样用户不仅不需在登陆web应用程序时重复认证,而且这些应用程序也无法获得密码等敏感信息。“CAS”也指实现了该协议的软件包。客户端,也可以叫做服务,通常是我们浏览器访问的web应用。认证服务器,它的主要用途是颁发票据和对用户进行身份验证。

2023-05-10 17:15:44 537

原创 vSphere入门之vCenter安全加固

对于vSphere的防护,我们可以参考VMware官方的最佳实践,其中提到了对于vSphere的各个组件,包括vCenter、ESXi等各个方面的防护措施,我们对官方的最佳实践做了深入分析及落地,细节可参考《ITDR之vSphere白皮书》中vSphere加固一章,其中详细描述了加固策略、权限管理、密码策略管理等方面的具体加固措施。在对于ESXi的攻击,攻击者和ESXi的网络要互通,才能实施攻击,如果ESXI主机暴露在公网上的没有打补丁,那么会有很大的遭受攻击的风险。vSphere全流程防御方案。

2023-05-10 17:06:14 794

原创 【云目录】——探索下一代Active Directory

导语LeadActive Directory(以下简称AD),是目前企业内网中最广泛应用的身份管理解决方案。随着全民云计算时代的到来,基于Windows的本地化AD在许多应用场景中遇到挑战,云目录作为新的身份管理方案,不仅可以填补AD无法覆盖的场景,在容灾系统等方面也具备优势。并且云目录可以与AD搭配使用,保障企业内网与业务的安全运作。1 AD是什么在讲活动目录(Active Directory)之前,我们需要先理解在计算机逻辑中目录(directory)的概念。手机通讯录内记录的姓名、电

2021-11-19 15:57:24 2825 1

原创 AdminSDHolder

本次安全科普为大家介绍AD域中的AdminSDHolder,与AdminSDHolder相关的特性频繁被攻击者利用来进行留后门等操作,在检查AD域安全时AdminSDHolder相关属性也是排查的重点。0x00 域内受保护的用户和组在Active Directory中,一些高权限的用户和组被视为受保护的对象通常对于受保护的用户和组,权限的设置和修改是由一个自动过程来完成的,这样才能保证在对象移动到其他目录时,对象的权限也始终保持一致不同系统版本的域控制器上受保护的用户和组也不同,具体可以参考

2021-10-27 15:45:35 534

原创 【安全科普】AD域安全协议(三)LDAP

前言LDAP是一种目录访问协议,它规定了以树状结构的方式来存储和访问数据。然而协议是抽象的,要产生具体的功效,必须在应用中实现,比如AD域服务就实现了LDAP协议。LDAP最明显的优势就是读取速度快,拥有极高的搜索效率。可以用一个例子来体会这种速度:当我们进入一个迷宫,需要寻找出口。普通数据库:一条路一条路地尝试,直到尝试...

2021-10-11 11:31:35 957

原创 【安全科普】AD域安全协议(二)NTLM

在Kerberos出现之前,NTLM被广泛应用于工作组和域环境,是更早的用于对用户进行身份验证的协议。相比于Kerberos,NTLM的认证原理比较简单,主要通过对比客户端和服务端加密后的数据,判断其是否一致,以确定用户身份。如果用做菜来比喻,那么被加密的数据就是“原材料”,加密密钥就是“秘方”,原理就是“用不同的秘方做出...

2021-09-27 10:53:18 1530

原创 【安全研究】从mimikatz学习Windows安全之访问控制模型(三)

作者:Loong716@Amulab0x00 前言在之前的文章中,分别向大家介绍了Windows访问控制模型中的SID和Access Token,本篇文章中将为大家介绍最后一个概念——特权Windows操作系统中许多操作都需要有对应的特权,特权也是一种非常隐蔽的留后门的方式。...

2021-09-26 14:52:41 1006

原创 【安全科普】AD域安全协议(一)kerberos

在网络空间中,用户进行通信时,要将自己的信息转换成数据,在网络上传输给对方。最初是不加密直接传输的,但是对话信息容易被他人查看,所以就出现了加密模式。这种方式,一定程度上保护了通信安全,但一些“聪明”的hei客,仍能通过第三方攻ji的手段偷换密码,以达到窃取信息的目的。在企业中,大多信息都能产生价值。hei客为了获得利益,...

2021-09-26 11:09:46 11226

原创 安全应该服务于业务|中安网星创始人入选2021福布斯中国U30

9月16日,福布斯中国揭晓2021年度30 Under 30榜单,中安网星创始人杨常城荣誉上榜。2021福布斯中国30 Under 30 榜单评选标准为:年龄在30岁以下,在业内崭露头角,或者展现出成为未来行业及社会翘楚的潜在力量。本次评选涉及10个行业领域,每个领域各有30人登榜。榜单评选由主办方从影响力、绩效和创新三个...

2021-09-24 17:49:58 2824

原创 【安全研究】从mimikatz学习万能密码

1.背景介绍2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为“SkeletonKey”恶意软件)进行高级攻ji活动的报告,SkeletonKey恶意软件修改了DC的身份验证流程,域用户仍然可以使用其用户名和密码登录,攻ji者可以使用Skeleton Key密码作为任何...

2021-09-24 17:46:11 534

原创 『AD域攻防实践』第二期学习笔记

上一周的直播课中,小伙伴们跟随御守实验室的师傅一起了解了“AD域在攻防对抗场景下的安全现状”,课程结束后,我们为大家整理了学习笔记,也将录屏和PPT公布在了公众号和微信群,帮助大家查漏补缺。在小伙伴们的热情支持下,『AD域攻防实践』系列第二期也成功于9月6号晚20:00在bilibili圆满结束。本期主要内容为“AD域安全风险“,由GPP老师讲解,为了方便大家对域内风险有更全面深入的理解,GPP老师按照攻击阶段,将域内风险分为信息收集、横向移动、权限提升和权限维持四个部分,深入浅出地为我们讲

2021-09-13 11:32:23 711

原创 『AD域g防实践』第二期学习笔记

# 域内信息收集与防御#域内信息收集主要通过LDAP和SAMR两种方式:1)LDAP信息收集原理:因为域环境下所有的组、账户等对象都存储在Directory-Database中,而LDAP可以用来查询和更新目录数据库,所以通过LDAP协议可以快速收集很多域内重要信息,比如域管组、域控、MAQ、组策略等。2)SAMR信...

2021-09-13 11:31:04 996

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除