![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络安全
文章平均质量分 68
Beluga
你本来应该站在更高的地方
展开
-
渗透测试之只有一个登录框
对接口进行测试,果然目标站点的接口都是一样的,使用工具直接对接口进行批量未授权测试,发现了一个未授权的api/users/export/接口,可以直接导出数据。挂上dirsearch,上大字典扫就完事了,期待来一波api接口泄露,源码泄露哈哈,然而现实总归时残酷的,果然没扫描到什么有用的东西。在我们做渗透时,如果这个搞不定那就去找同一框架的其他网站,说不定就能拿到备份网站源码呢,同样的想法,我们也应该去这个分站看一看。今天又给了一个网站,关键还说只能测试这个一个网站,其他的不要碰。测试账号也不说给一个。原创 2023-04-18 15:36:55 · 589 阅读 · 0 评论 -
iOS静态方式绕过svc反动态调试
iOS静态方式绕过svc反动态调试原创 2023-04-18 15:35:08 · 774 阅读 · 2 评论 -
CVE-2023-21839 WebLogic Server RCE分析
在后续的进行lookup操作之前会检查 JNDI 环境是否已正确配置以访问远程资源,主要是对jndiEnvironment和remoteJNDIName的检测,如果在if中的任何一个条件为真,那么将调用对象的lookup方法,如果 if 语句中的所有条件都为假,则会进入检查cachedReferent字段的阶段。weblogic10 及以后的版本,不能直接使用server/lib 目录下的 weblogic.jar 了,需要手动执行一个命令生成手动生成 wlfullclient.jar。原创 2023-04-18 15:33:35 · 800 阅读 · 0 评论 -
PetitPotam 漏洞(CVE-2021-36942)分析
PetitPotam 漏洞(CVE-2021-36942)分析• 漏洞分析攻击者可以通过构造恶意的文件路径,使得目标服务器尝试与攻击者控制的服务器建立连接。在这种情况下,攻击者可以捕获目标服务器的 NTLM 凭据,甚至可能实施更进一步的攻击,例如传递哈希攻击(Pass-the-Hash)或利用其他漏洞进行横向移动。漏洞描述---PetitPotam 漏洞(CVE-2021-36942)是一个 Windows 远程协议(MS-EFSRPC)中的安全漏洞,它影响了微软的加密文件系统(EFS)。这个漏洞原创 2023-04-18 15:29:21 · 934 阅读 · 0 评论 -
Linux中基于eBPF的恶意利用与检测机制
容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核安全带来了新的挑战。此时,eBPF出现,它以较小的子系统改动,保障了系统内核的稳定,还具备实时动态加载的特性,能将业务逻辑加载到内核,实现热更新的动态执行。ip命令的参数中包含bpf字节码文件名,ip进程打开.o字节码的FD,通过NETLINK发IFLA_XDP类型消息(子类型IFLA_XDP_FD)给内核,内核调用dev_change_xdp_fd函数,由网卡接管FD,引用计数器递增,用户空间的ip进程退出后,BPF程序依旧工作。原创 2023-04-18 15:22:21 · 954 阅读 · 0 评论 -
网络安全—Kali Linux之ARP欺骗和DNS劫持
其应对方法只有使用HTTPS,但并不仅仅是在原有的域名HTTP的基础上切换HTTPS那么简单,还需要保障这个域名不支持HTTP访问并且没有被大范围使用HTTP访问过,如果不这样做的话会出现一个问题,运营商在DNS解析的时候并不知道这个域名是用什么协议访问的,当之前已经记录过这个域名支持HTTP访问后,不管后续是否是HTTPS访问,都会进行DNS劫持,这是如果使用的是HTTPS访问,会因为运营商的缓存服务器没有对应的SSL证书而导致请求无法建立链接,这时就会遇到请求失败的问题。(地址解析协议)的缩写。原创 2023-03-08 21:13:59 · 1104 阅读 · 0 评论 -
网络安全之—SSH-私钥泄露
经过上面信息收集,我们发现了robots文件,和.ssh文件,我们先查看robots文件,如下图,发现有几个文件,看这个样子,我第一反应是去看。目录下面的文件,但是都没有发现可以利用的点,但是我们可以进入root目录,里面有一个flag,我们打不开,如下图。目录,如下图,看这个名字就知道了,怀疑的是,.ssh目录下面有这三个文件,我们挨个访问看看。端口进行扫描,命令和上面差不多,后面加一个端口就可以了,扫描结果如下,发现有东西,一个是。然后,我们打开其他文件,发现了用户名泄露,如下图,用户名是。原创 2023-02-21 15:25:37 · 1058 阅读 · 0 评论 -
DNS 查询过程
6、如果用的是转发模式,此DNS服务器就会把请求转发至上一级DNS服务器,由上一级服务器进行解析,上一级服务器如果不能解析,或找根DNS或把转请求转至上上级,以此循环。3、如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/ip参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中,则返回解析结果给客户机,完成域名解析,此解析具有权威性。域服务器,重复上面的动作,进行查询,直至找到www . qq .com主机。原创 2023-02-18 17:31:22 · 723 阅读 · 0 评论 -
TCP 协议如何保证可靠传输
数据分块:应用数据被分割成 TCP 认为最适合发送的数据块。序列号:TCP 给发送的每一个包进行编号,接收方对数据包进行排序,把有序数据传送给应用层。校验和: TCP 将保持它首部和数据的检验和。这是一个端到端的检验和,目的是检测数据在传输过程中的任何变化。如果收到段的检验和有差错,TCP 将丢弃这个报文段和不确认收到此报文段。重复丢弃:TCP 的接收端会丢弃重复的数据。流量控制: TCP 连接的每一方都有固定大小的缓冲空间,TCP的接收端只允许发送端发送接收端缓冲区能接纳的数据。当接收方来不及处理原创 2023-02-18 17:29:15 · 245 阅读 · 0 评论 -
UDP、TCP 协议的主要特点和区别
TCP 中的“流”(Stream)指的是流入进程或从进程流出的字节序列。“面向字节流”的含义是:虽然应用程序和 TCP 的交互是一次一个数据块(大小不等),但 TCP 把应用程序交下来的数据仅仅看成是一连串的无结构的字节流。TCP 连接的两端都设有发送缓存和接收缓存,用来临时存放双方通信的数据;通过TCP连接传送的数据,无差错、不丢失、不重复、并且按序到达;每一条 TCP 连接只能有两个端点,每一条TCP连接只能是点对点的(一对一);UDP 的首部开销小,只有8个字节,比TCP的20个字节的首部要短。原创 2023-02-18 17:29:39 · 283 阅读 · 0 评论 -
在Windows中如何安装和使用binwalk
Binwalk使用libmagic库,因此它与Unix文件实用程序创建的魔术签名兼容。Binwalk还包括一个自定义魔术签名文件,其中包含常见的诸如压缩/存档文件,固件头,Linux内核,引导加载程序,文件系统等的固件映像中常见文件的改进魔数签名。为了方便使用,如果每次使用binwalk都要找这个Scripts目录,岂不是有点烦,所以在桌面创建一个cmd快捷方式指定到这个目录即可,这样每次使用就只需要在桌面点击binwalk的cmd命令终端即可。具体来说,它被设计用于识别嵌入固件镜像内的文件和代码。原创 2023-02-18 17:20:03 · 1457 阅读 · 2 评论 -
网络安全之[信息收集]—多个搜索引擎语法
搜索引擎是我日常工作中用得最多的一款工具,国内常用的搜索引擎包括Baidu,sougou,bing等。但我本篇要纪录的并不是这些常用的搜索引擎,而是信息安全从业人员必备的几款网络搜索引擎。本篇要介绍的搜索引擎包括:Shodan,censys,钟馗之眼,Google,FoFa,Dnsdb等。介绍的内容主要是这几款搜索引擎的一些高级语法,掌握高级语法会让搜索结果更准确。对搜索引擎语法有所遗忘的,本文可当参考,仅此而已Google搜索引擎 这里之所以要介绍google搜索引擎,是因为它有别于百度、搜狗等原创 2022-12-24 01:48:51 · 562 阅读 · 0 评论 -
网络空间安全——利用 CVE-2017-0213 提权
VE-2017-0213 是一个比较冷门的COM 类型混淆 (Type Confusion)漏洞。巧妙的利用该漏洞,可以实现本地的。以窗口(cmd)形式打开并执行命令查看一下现在权限whoami发现是system权限说明利用成功了。该漏洞由著名的Google Project zero 发现。利用 CVE-2017-0213 简单提权。利用 CVE-2017-0213 简单提权。-2017-0213漏洞简单提权,首先下载CVE-2017-0213。接下来创建一个用户试试吧!下面就简单演示一下利用。原创 2022-12-22 02:58:45 · 566 阅读 · 0 评论 -
网络空间安全——MS15_034漏洞验证与安全加固
1.安装iis7.5,用127.0.0.1访问,将访问页面截图。4.将测试结果进行截图,判断是否存在ms15_034漏洞。3.调用msf相应的测试模块进行扫描,将测试模块截图。靶机:windows 2008 安装好iis7.5。5.使用拒绝服务模块,来进行测试,将模块名称截图。分析是否存在ms15_034漏洞,抓包验证截图。8.再次利用拒绝服务攻击,验证是否还存在漏洞。6.用拒绝服务模块进行攻击的结果进行截图。7.对靶机进行修补,将修补过程进行截图。2.用burpsuite。原创 2022-12-21 11:06:11 · 1662 阅读 · 2 评论 -
网络空间安全中高职业院校职技能大赛——Telnet弱口令渗透测试
1.对靶机系统进行服务及版本扫描渗透测试,并将该操作显示结果中Telnet服务对应的服务端口信息截图。:windows7 开启telnet,用最高管理员账户作为telnet账户。2.使用hydra工具对其暴力破解,密码字典自己写好名为pass.txt。4.利用破解出来的密码登录靶机,成功登录截图。3.将破解出来的密码界面截图。原创 2022-12-21 11:06:44 · 288 阅读 · 0 评论 -
网络空间安全中高职业院校职技能大赛——借助.htaccess上传绕过
查看源码发现 .php .php5 …3.新建.htaccess文件,内容如下。编辑菜刀去连接,取得shell。1.选择pass-04。上传.htaccess。原创 2022-12-21 11:04:53 · 141 阅读 · 0 评论 -
网络空间安全中高职业院校职技能大赛——sudo提权
可以发现,哪怕是find这种查找命令被赋予了sudo,也能够瞬间提权为root权限,只要我们能够巧妙的利用执行这些命令。原创 2022-12-21 00:09:24 · 212 阅读 · 0 评论 -
网络安全——【收藏】网络设备安全加固规范
如非要采用HTTP服务,要求对HTTP服务进行严格的控制,如果必须选择使用HTTP进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证,修改HTTP的默认端口。路由器以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问。出现问题时,对设备的维护工作仍可正常进行,建议保留必要的维护用户。原创 2022-12-19 18:52:30 · 1134 阅读 · 0 评论 -
2022年江西省职业院校技能大赛“网络空间安全”比赛任务书
每个参赛队拥有专属的堡垒机服务器,其他队不能访问。4.靶机服务器上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权;5.操作系统提供的服务可能包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限;2.靶机服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;2.堡垒服务器上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限;转载 2022-11-15 20:41:51 · 386 阅读 · 0 评论 -
2022 年江西省职业院校技能大赛高职组信息安全管理与评估赛题 02
高职组“信息安全管理与评估”赛项任务书9:00-13:30,共计4小时30分,含赛题发放、收卷时间。第一阶段平台搭建与安全设备配置防护任务1网络平台搭建60任务2网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务1ftp安全配置150任务2ssh安全配置150任务3CTF100中场收卷30分钟第三阶段分组对抗任务1系统加固15分钟300任务2系统攻防45分钟。原创 2022-11-14 19:53:20 · 1273 阅读 · 0 评论 -
2022 年江西省职业院校技能大赛高职组信息安全管理与评估赛题 01
高职组“信息安全管理与评估”赛项任务书9:00-13:30,共计4小时30分,含赛题发放、收卷时间。第一阶段平台搭建与安全设备配置防护任务1网络平台搭建60任务2网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务1XSS漏洞攻防100任务2sql注入漏洞攻防150任务3代码审计150中场收卷30分钟第三阶段分组对抗系统加固15分钟300系统攻防45分钟。转载 2022-11-14 19:52:34 · 401 阅读 · 0 评论 -
2022 年江西省职业院校技能大赛高职组“信息安全管理与评估”赛项样题
高职组“信息安全管理与评估”赛项任务书9:00-13:30,共计4小时30分,含赛题发放、收卷时间。本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。转载 2022-11-14 19:51:56 · 683 阅读 · 0 评论 -
2023年江苏省职业院校技能大赛中职赛项规程
赛前成立由巡视员、专家组长、裁判长、监督组长、仲裁组长、承办校领导等相关人员组成的应急处理小组,比赛期间发生任何意外事故(如赛卷、设备、安全等),发现者应第一时间报告专家组长,立即采取措施避免事态扩大,启动应急预案予以解决并报告大赛组委会。A集团的Linux服务器被黑客入侵,该服务器的系统目录被上传恶意软件,域用户凭证被读取,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。原创 2022-10-08 22:18:28 · 3757 阅读 · 0 评论 -
2022年全国职业院校技能大赛赛项比赛时间、承办校信息统计表(第二批)
山东省青州市云门山南路9966号(赛场潍坊市奎文区北宫街5369号潍坊巾帼家政广场)山东省潍坊市滨海经济技术开发区科教创新园区海安路06588号。榆中县窦家山36号、城关区段家滩路928号(东校区)榆中县窦家山36号、城关区段家滩路927号(东校区)潍坊市滨海经济技术开发区科教创新园区海安路06588号。山东省济南市长清区大学科技园丹桂路2011号。山东省威海市经济技术开发区松鹤路19号。山东省潍坊市青州市云门山南路8979号。山东省日照市市北经济开发区林河路7号。山东省潍坊市奎文区东风东街7494号。..原创 2022-07-22 16:21:19 · 7761 阅读 · 1 评论 -
HW2021攻防演练经历碎碎念-见解
HW2021攻防演练经历碎碎念。原创 2022-07-18 23:39:59 · 2324 阅读 · 0 评论 -
中职网络安全—2022年国赛逆向PE Reverse解题思路
4.对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,尝试破解该二进制文件,将注册成功后的回显信息作为Flag值提交;2.对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,将该二进制文件中检查许可证的关键函数作为Flag值提交;题目是(对靶机服务器场景桌面上的PE01.exe二进制文件进行静态调试,将main函数的入口地址作为Flag值提交;在ida左边的工作栏里,会显示程序和系统各种函数的入口地址,我们可以看到,这个程序main函数的入口地址为。.........原创 2022-07-18 23:27:10 · 1618 阅读 · 0 评论 -
中科磐云—D模块web远程代码执行漏洞解析
远程代码是用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变$PATH或程序执行环境的其他方面来执行一个恶意构造的代码。什么原理呢,首先就是创建两个变量,随后使用if语句进行判断,在使用strstr函数进行检查,检查出异常的符号就使用false来过滤掉。就像这样,我们可以利用管道符来进行执行一些命令。配合上管道符,我们就可以进行执行命令。我们可以像这样来进行加固。...原创 2022-07-15 15:47:45 · 517 阅读 · 0 评论 -
中科磐云——网络空间安全抓包题目 B.pcap
1.通过分析虚拟机windows7桌面上的数据包B.pcapng,找到数据库里的flag最后一个字符是什么,将该字符作为FLAG提交;5.通过分析数据包B.pcapng,找到黑客通过一句话木马上传的第一个文件是什么,将文件名作为FLAG提交;3.通过分析数据包B.pcapng,找到服务器的内核版本是多少,将该版本信息作为FLAG提交;4.通过分析数据包B.pcapng,找到黑客扫描网段的命令是什么?6.通过分析数据包B.pcapng,找到黑客从服务器上下载的文件,将文件内容作为FLAG提交。...原创 2022-07-15 15:41:46 · 1157 阅读 · 0 评论 -
中职网络安全——(2022网络安全nc批量连接的脚本)免费的脚本哦~~~
版权声明本文为CSDN博主「ruihack」的原创文章,遵循CC4.0BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接https//blog.csdn.net/qq_57147160/article/details/120628207。是一个nc批量连接的脚本。原创 2022-07-15 15:37:40 · 1451 阅读 · 0 评论 -
私钥,公钥的区分——私钥公钥讲解
公钥私钥的作用就是当在一个用户下生成一个ssh的公钥和私钥的时候,将公钥上传到对方ssh的服务器上就可以实现无密码进行连接。还有可以能在密钥连接的时候出现权限问题,使用chmod进行赋权即可。......原创 2022-07-15 15:35:32 · 1512 阅读 · 0 评论 -
基础-变量
标记语言//xxx/*xxx*/# 注释$ 定义变量$var = 1;echo $var //输出内容var的数据 1unset($var); //删除var变量原创 2022-07-04 14:08:44 · 358 阅读 · 0 评论 -
2022年xx地 信息安全管理与评估赛题
试题1信息安全管理与评估 第一阶段网络平台搭建与设备安全防护目 录第一阶段竞赛项目试题.. 3介绍.. 3所需的设备、机械、装置和材料.. 3评分方案.. 3注意事项.. 3项目和任务描述.. 31.网络拓扑图... 32.IP地址规划表... 4工作任务.. 5任务1:网络平台搭建... 6任务2:网络安全设备配置与防护... 6第二阶段竞赛项目试题.. 12介绍.. 12所需的设备、机械、装置和材料.. 12评分方案.. 12项目和任务描述.. 12工作任务.. 13第一部分 网络安全事件响应..原创 2022-06-05 23:10:41 · 7000 阅读 · 14 评论 -
20XX年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书
20XX年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书一、 赛项时间9:00-15:00,共计 6 小时,含赛题发放、收卷及午餐时间。二、 赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与安全设备配置防护任务 1网络平台搭建9:00-13:3060任务 2网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务 1XSS 渗透测试与安全开发60任务 2密码学与 SSL 应用60任务 3Web 应用渗透测试与安全开发60任务 4ARP 扫描渗透测试60任务 5生成原创 2022-06-05 23:00:48 · 737 阅读 · 2 评论 -
2022年中职组“网络安全”赛项山东淄博工业学校新生测试—竞赛任务书
2022年中职组“网络安全”赛项山东淄博工业学校新生测试—竞赛任务书总计:360分钟竞赛阶段任务阶段竞赛任务竞赛时间分值A、B模块A-1登录安全加固120分钟200分A-2Web安全加固(Web)A-3流量完整性保护与事件监控(Web,Log)A-4防火墙策略B-1Windows操作系统渗透测试400分B-2Linux操作系统渗透测试B-3系统漏洞B-4隐藏信息探索阶段切换阶段切换20分钟0C、D模块C模块CTF夺旗-攻击120分钟200分D模块CTF夺旗-防御200分一、项目和任务描述:假定你是某企业的网原创 2022-06-05 21:48:53 · 448 阅读 · 0 评论 -
常熟理工小程序sql注入
这是正常的页面这个是报错的页面 报错语句:"error":"'person_type' 附近有语法错误。\r\n字符串 ')' 后的引号不完整。\r\n'person_type' 附近有语法错误。\r\n字符串 ') order by dictionary_sort asc' 后的引号不完整。"一共有5处地方有注入第一处OrderDir地方利用,/(convert(int,user))./db_name()&OrderDir=asc,1/user&OrderDir=asc,1/@@version第二处注入E原创 2022-06-05 21:40:58 · 962 阅读 · 0 评论 -
泛微OA9前台无限制getshell
漏洞位于: /page/exportImport/uploadOperation.jsp文件中Jsp流程大概是:判断请求是否是multipart请求,然就没有了,直接上传了,啊哈哈哈哈哈重点关注File file=new File(savepath+filename),Filename参数,是前台可控的,并且没有做任何过滤限制利用非常简单,只要对着127.0.0.1/page/exportImport/uploadOperation.jsp来一个multipartRequest就可以,利用简单,自评高危!!原创 2022-06-05 21:33:22 · 1690 阅读 · 0 评论 -
范伟OA8前台SQL注入
漏洞URL:http://106.15.190.147/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=***注入点在getdata.jsp中,直接将request对象交给weaver.hrm.common.AjaxManager.getData(HttpServletRequest, ServletContext) :方法处理在getData方法中,判断请求里cmd参数是否为空,如果不为空,调用proc方法Proc方法4个参数,(“空字符串”,”cmd参数值”,requ原创 2022-06-05 21:32:13 · 311 阅读 · 0 评论 -
网络安全——攻防阶段之加固
删除关机命令rm -rf /sbin/shutdownrm -rf /sbin/init rm -rf /sbin/reboot查看有哪些用户cat /etc/passwd删除用户 禁用用户passwd -l username # 禁用用户userdel usernmae # 删除用户# 也可编辑/etc/passwd 文件,在不要的用户前加注释iptables防火墙# 先看要求开放的端口,如:21,22,23,80,3306# 因为原创 2022-04-22 21:46:57 · 1171 阅读 · 0 评论 -
中职网络安全tomcat中间件安全与加固 flag
tomcat中间件安全与加固任务环境说明:服务器场景名称:w-win7 服务器场景用户名:administrator;密码:未知(开放链接) 渗透机场景:kali 渗透机用户名:root,密码:toor通过渗透机场景kali中的工具对web服务器进行扫描,浏览web服务器网页,在首页中找到tomcat服务版本号,并将其版本号作为flag提交;Flag:7.0.79已知此版本的tomcat具有上传漏洞,即向页面提交发送请求就会生成对应的文件。利用Burp Suite工具进行抓包,向网站首原创 2022-04-20 21:19:16 · 764 阅读 · 1 评论 -
中职网络安全attack.pcapng数据包的flag
三、数据分析与取证1. 使用 Wireshark 查看并分析虚拟机 windows 7 桌面下的 attack.pcapng 数据包文件,通 过分析数据包 attack.pcapng 找出黑客的 IP 地址,并将黑客的 IP 地址作为 FLAG(形式:[IP 地址])提交:tcp.connection.syn通过分析端口,因为黑客都是扫描常用端口的Flag:[172.16.1.102]2. 继续查看数据包文件 attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作原创 2022-04-20 21:17:50 · 3073 阅读 · 0 评论