OpenRasp源码分析-java功能

最新推荐文章于 2024-11-20 14:56:16 发布
原创 最新推荐文章于 2024-11-20 14:56:16 发布 · 2.2k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了OpenRasp的Java功能,包括RaspIntall.jar的安装过程,启动执行流程,核心原理如加载java层的hook功能模块和运行时插桩。在启动流程中,重点讲述了如何通过类加载机制实现动态插桩,以及反序列化检测的逻辑。此外,还简要提及了未分析的native实现部分。

OpenRasp源码分析-java功能

最近在做关于后台服务器和web的rasp这块工作,需要在OpenRasp的基础上做一个二次研发,为了能弄清其实现的技术细节,阅读了一下源码。记录的内容主要有以下几个点

  • RaspIntall.jar的功能
  • 启动执行流程
  • 核心原理
  • 检测规则
  • 其他
    整个OpenRasp的基本就是上述几个过程。其中重点关注的是启动执行流程,核心原理,检测规则三个点,下面就一个个的分析其实现。在分析的过程中我用了一个一些逆向工程的思路,当然也可以直接读源码,每个人都有自己的思路,能达到目的就可以了。

下面分析主要关注的java–>springboot–>DeserializationHook相关

RaspIntall.jar的功能

在其官方文档中,有提到了在启动服务之前,需要先安装agent,对于SpringBoot框架,使用如下方式安装

java -jar RaspInstall.jar -nodetect -install <spring_boot_folder> -backendurl http://XXX -appsecret XXX -appid XXX

其中backendurl appsecret appid可以通过启动rasp-cloud可以获取到,这里不是重点,先不去管。

这里使用jd-gui.jar查看RaspInstall.jar,根据参数

-nodetect -install <spring_boot_folder>

定位到MANIFEST.MF下的Main-Class值,如下

Manifest-Version: 1.0
Archiver-Version: Plexus Archiver
Built-By: root
Created-By: Apache Maven 3.5.4
Build-Jdk: 1.8.0_232
Main-Class: com.baidu.rasp.App

找到关键类com.baidu.rasp.App,经过分析后,来到关键掉一共

public static void operateServer(String[] args) throws RaspError, ParseException, IOException {
   
   
    showBanner();
    argsParser(args);
    checkArgs();
    if ("install".equals(install)) {
   
   
      File serverRoot = new File(baseDir);
      InstallerFactory factory = newInstallerFactory();
      Installer installer = factory.getInstaller(serverRoot, noDetect);
      if (installer != null) {
   
   
        installer.install();
      } else {
   
   
        throw new RaspError(RaspError.E10007);
      } 
    } else if ("uninstall".equals(install)) {
   
   
      File serverRoot = new File(baseDir);
      UninstallerFactory factory = newUninstallerFactory();
      Uninstaller uninstaller = factory.getUninstaller(serverRoot);
      if (uninstaller != null) {
   
   
        uninstaller.uninstall();
      } else {
   
   
        throw new RaspError(RaspError.E10007);
      } 
    } 
  }

进入到install中的调用,经过分析可以知道,程序是将rasp目录下的所有程序复制到指定的springboot_path下的rasp目录下,主要有以下几个文件

.
├── conf
│   └── openrasp.yml
├── logs
│   ├── alarm
│   │   └── alarm.log
│   ├── plugin
│   │   └── plugin.log
│   ├── policy_alarm
│   │   └── policy_alarm.log
│   └── rasp
│       └── rasp.log
├── plugins
├── rasp-engine.jar
└── rasp.jar
log文件是运行后自动生成的,可以忽略。

RaspInstall.jar主要功能:

  • 在目标路径创建rasp目录
  • 复制rasp.jar,rasp-engine.jar
  • 复制conf目录
  • 复制plugins目录
  • 生成配置信息conf/openrasp.yml文件

启动执行流程

启动openrasp的时候,使用如下命令

java -javaagent:/opt/spring-boot/rasp/rasp.jar -jar xxx.jar

指定javaagent:参数,在java中启动时指定了agent,则可以完成以下功能

javaagent 的主要功能如下:

可以在加载 class 文件之前做拦截,对字节码做修改
可以在运行期对已加载类的字节码做变更,但是这种情况下会有很多的限制,后面会详细说
还有其他一些小众的功能
获取所有已经加载过的类
获取所有已经初始化过的类(执行过 clinit 方法,是上面的一个子集)
获取某个对象的大小
将某个 jar 加入到 bootstrap classpath 里作为高优先级被 bootstrapClassloader 加载
将某个 jar 加入到 classpath 里供 AppClassloard 去加载
设置某些 native 方法的前缀,主要在查找 native 方法的时候做规则匹配

#参考 JVM 源码分析之 javaagent 原理完全解读
https://www.infoq.cn/article/javaagent-illustrated/

根据参考中的分析,可以知道,在启动的时候指定了javaagent之后,java程序会根据META-INF/MANIFEST.MF新找到

Premain-Class:xxxx

指定的类,接着调用premain方法,使用jd-gui.jar查看rasp.jar中的META-INF/MANIFEST.MF,内容如下

在这里插入图片描述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-it1rIYSE-1587637934982)(./imgs/rasp_manifest_mf.png)]

该类实现了premain方法,另一个是动态加载的方式,暂时不管,如下
在这里插入图片描述

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EQLZf4WM-1587637934986)(./imgs/init.png)]

进入到init方法

add_rasp_engine_jar

程序首先调用JarFileHelper.addJarToBootstrap(inst);rasp.jar添加到bootstrap的路径内,这样系统会优先加载这个jar文件到系统路径中,后续的Hook能完成预先的类加载埋点插桩,后面的核心逻辑功能分析有细致分析
add_jar_to_bootstrap

接着调用ModuleLoader.load(mode, action, inst);rasp-engine.jar加载并执行。进入到ModuleLoader.load程序调用了ModuleLoader创建一个loader的实例对象
在这里插入图片描述

这里需要注意的是,在ModuleLoader内有一个静态代码块,这里负责初始化当前加载的根目录baseDirectory和系统加载器systemClassLoader
在这里插入图片描述

可以看到在获取 systemClassLoader的时候,有一个判断是否是sun.misc.Launcher$ExtClassLoader,不是就获取其父类的classLoader
默认情况下,我们在写一个main方法内获取到的ClassLoader

    private static void showClassLoader(){
   
   
        ClassLoader loader =ClassLoader.getSystemClassLoader();
        System.out.println("Defaule ClassLoader Name:"+loader.getClass().getCanonicalName()+" \nparant Name: "+loader.getParent().getClass().getCanonicalName()+"\ngrand parent Name:"+loader.getParent().getParent().getClass().getCanonicalName());
    }

sun.misc.Launcher.AppClassLoader
对应的`parent`是
sun.misc.Launcher.ExtClassLoader
对应的grand parent:NullPointer

可以看到sun.misc.Launcher.AppClassLoader对应的父类是sun.misc.Launcher.ExtClassLoader,这两个的父类都是URLClassLoader,具体参考(https://blog.youkuaiyun.com/briblue/article/details/54973413)

   private static void showClassLoader(){
   
   
        ClassLoader loader =ClassLoader.getSystemClassLoader();
//        System.out.println("Defaule ClassLoader Name:"+loader.getClass().getCanonicalName()+" \nparant Name: "+loader.getParent().getClass().getCanonicalName()+"\ngrand parent Name:"+loader.getParent().getParent().getClass().getCanonicalName());
        ClassLoader module = loader.getParent();
        if (module instanceof URLClassLoader){
   
   
            System.out.println("Got it  "+module.getClass().getCanonicalName());
        }
    }
输出的结果
Got it  sun.misc.Launcher.ExtClassLoader

初始化完成后,调用ModuleLoader的构造函数,ModuleLoader的构造函数是一个私有的,在构造函数内通过调用ModuleContainer的构造函数获取一个engineContainer对象,接着调用start方法启动程序。在ModuleContainer内部通过解析rasp-engine.jar获取MANIFEST.MF指定的Rasp-Module-Class类,调用反射方法获取到rasp-engine.jar的入口类,接着使用获取到的类加载器指定反射调用newInstance()方法,执行调用模块对应的start方法。

在这里插入图片描述

对应的Rasp-Module-Classrasp-engine.jarMETA-INF/MANIFEST.MF
在这里插入图片描述

由于系统加载器不一定就是默认的加载器,所以在加载的时候做了区分,
一个就是判断是否为java.net.URLClassLoader这个加载器,另一个就是调用ModuleLoader.isCustomClassLoader函数判断是否是weblogic或者jdk9、10和11。
源码内对应的注释
在这里插入图片描述
如果两个都不是,则这里就提示加载失败,根据前面的分析可以知道,此时调用的是URLClassLoader部分的逻辑,反之就利用反射初始化模块EngineBoot对象,最后调用start方法。由于EngineBoot实现的是Module接口,每个模块都有start release两个方法
在这里插入图片描述

在准备完成后,通过engineContainer.start()的方式调用模块对应的start()
在这里插入图片描述

启动正常的话,就能看到了如下输出
在这里插入图片描述

核心原理

根据前面的启动流程可以知道,程序最后交给了EngineBoot类并执行了start方法。EngineBoot类主要完成以下几个工作

  • 加载openrasp_v8.so (这个是暂时不做重点关注)
  • 记载config文件 (这个是暂时不做重点关注)
  • 初始化rasp编译信息 (这个是暂时不做重点关注)
  • 缓存RASP的build信息 (这个是暂时不做重点关注)
  • 加载js插件(这个是暂时不做重点关注)
  • 加载java层的hook功能模块(重点关注)
  • 初始化加载或者回滚类(重点)
加载java层的hook功能模块

EngineBoot.start()内,在完成一些js和系统信息初始化后,接着来到了检测点的初始化,通过CheckerManager.init();来实现。在其内部通过加载com.baidu.openrasp.plugin.checker.CheckParameter. Typ内的枚举类,包括了如下类型的hook点

  // js插件检测
        SQL("sql", new V8AttackChecker(), 1),
        COMMAND("command", new V8AttackChecker(), 1 << 1),
        DIRECTORY("directory", new V8AttackChecker(), 1 << 2),
        REQUEST("request", new V8AttackChecker(), 1 << 3),
        READFILE("readFile", new V8AttackChecker(), 1 << 5),
        WRITEFILE("writeFile", new V8AttackChecker(), 1 << 6),
        FILEUPLOAD("fileUpload", new V8AttackChecker(), 1 << 7),
        RENAME("rename", new V8AttackChecker(), 1 << 8),
        XXE("xxe", new V8AttackChecker(), 1 << 9),
        OGNL("ognl", new V8AttackChecker(), 1 << 10),
        DESERIALIZATION("deserialization", new V8AttackChecker(), 1 << 11),
        WEBDAV("webdav", new V8AttackChecker(), 1 << 12),
        INCLUDE("include", new V8AttackChecker(), 1 << 13),
        SSRF("ssrf", new V8AttackChecker(), 1 << 14),
        SQL_EXCEPTION("sql_exception", new V8AttackChecker(), 1 << 15),
        REQUESTEND("requestEnd", new V8AttackChecker(), 1 << 17),
        DELETEFILE("deleteFile", new V8AttackChecker(), 1 << 18),
        MONGO("mongodb", new V8AttackChecker(), 1 << 19),
        LOADLIBRARY("loadLibrary", new V8AttackChecker(), 1 << 20),
        SSRF_REDIRECT("ssrfRedirect", new V8AttackChecker(), 1 << 21),
        RESPONSE("response", new V8AttackChecker(false), 1 << 23),

        // java本地检测
        XSS_USERINPUT("xss_userinput", new XssChecker(), 1 << 16),
        SQL_SLOW_QUERY("sqlSlowQuery", new SqlResultChecker(false), 0),

        // 安全基线检测
        POLICY_LOG("log", new LogChecker(false), 1 << 22),
        POLICY_MONGO_CONNECTION("mongoConnection", new MongoConnectionChecker(false), 0),
        POLICY_SQL_CONNECTION("sqlConnection", new SqlConnectionChecker(false), 0),
        POLICY_SERVER_TOMCAT("tomcatServer", new TomcatSecurityChecker(false), 0),
        POLICY_SERVER_JBOSS("jbossServer", new JBossSecurityChecker(false), 0),
        POLICY_SERVER_JBOSSEAP("jbossEAPServer", new JBossEAPSecurityChecker(false), 0),
        POLICY_SERVER_JETTY("jettyServer", new JettySecurityChecker(false), 0),
        POLICY_SERVER_RESIN("resinServer", new ResinSecurityChecker(false), 0),
        POLICY_SERVER_WEBSPHERE("websphereServer", new WebsphereSecurityChecker(false), 0),
        POLICY_SERVER_WEBLOGIC("weblogicServer", new WeblogicSecurityChecker(false), 0),
        POLICY_SERVER_WILDFLY("wildflyServer", new WildflySecurityChecker(false), 0),
        POLICY_SERVER_TONGWEB("tongwebServer", new TongwebSecurityChecker(false), 0),
        POLICY_SERVER_BES("bes", new BESSecurityChecker(false), 0);

加这些插件添加到一个EnumMap

/**
 * Created by tyy on 17-11-20.
 *
 * 用于管理 hook 点参数的检测
 */
public class CheckerManager {
   
   

    private static EnumMap<Type, Checker> checkers = new EnumMap<Type, Checker>(Type.class);

    public synchronized static void init() throws Exception {
   
   
        for (Type type : Type.values()) {
   
   
			
				
            checkers.put(type, type.checker);
        }
    }

    public synchronized static void release() {
   
   
        checkers = null;
    }

    public static boolean check(Type type, CheckParameter parameter) {
   
   
        return checkers.get(type).check(parameter);
    }
}

添加的检测类为

[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker name: com.baidu.openrasp.plugin.checker.v8.V8AttackChecker
[Loopher]: ===> loading checker n
最低0.47元/天 解锁文章
linux环境OpenRASP使用教程,OpenRASP技术分析
weixin_35911805的博客
05-07 1253
阅读:11,455Open­RASP 将新兴的RASP(Run­time Ap­pli­ca­tion Self-Pro­tec­tion)安全防护技术普及化,使其迅速成为企业Web安全防护中的一个重要武器,有效增强防御体系纵深和对漏洞防护的适应能力。本文主要针对OpenRASP进行原理介绍和应用。OpenRASP介绍百度云分析团队开源的自适应安全产品https://rasp.baidu.com/...
OpenRasp Java运行时修改字节码技术
LoopherBear的博客
04-20 887
Java运行时修改字节码技术 Java运行时动态修改字节码技术,常用的有javassist asm来实现。不过最近在分析openrasp-java这块时,程序使用的javassist来动态插桩关键类,达到监控某些程序的行为,OpenRasp使用这个技术来实现了监控程序的行为。为了分析OpenRasp和理解其使用的技术原理,先做一个java动态修改指令基础知识的补充。 第一个程序 有如下程序 pac...
openrasp::fire:开源RASP解决方案
02-05
OpenRASP 介绍 与WAF之类的外围控制解决方案不同,OpenRASP通过检测将其保护引擎直接集成到应用服务器中。 它可以监视各种事件,包括数据库查询,文件操作和网络请求等。 发生攻击时,WAF会将恶意请求与其签名进行匹配并将其阻止。 OpenRASP通过挂钩敏感函数并检查/阻止输入到敏感函数中的输入,采取了不同的方法。 结果,该检查是上下文感知的和就地的。 它带来以下好处: 只有成功的攻击才能触发警报,从而导致较低的误报率和较高的检测率; 记录详细的堆栈跟踪信息,这使取证分析更加容易; 对格式错误的协议不敏感。 快速开始 查看详细的安装说明 我们还提供了一些与OWASP TOP
action请求_同盾技术 | OpenRASP Java源码分析与总结(二)Web请求、基于语法分析的SQL和安全基线检测...
weixin_39534321的博客
11-20 238
引子通过《OpenRASP Java源码分析与总结(一)——启动与检测》的分析,我们对OpenRASP Java部分的整体启动和检测流程有了大致的了解。本文将对OpenRASP所支持的js插件、安全基线等几类检测方式中,选取几个比较有代表性的检测进行详细分析。准备1agent Java代码包结构/+ |-boot // rasp.jar代码所在目录 | +-engine+ // rasp...
OpenRASP agent源码分析
fenglllle的博客
12-04 974
目录前言准备源码分析1. manifest 2. agent分析3. agent卸载逻辑 总结笔者在很早前写了(231条消息) OpenRASP Java应用自我保护使用_fenglllle的博客-优快云博客实际上很多商业版的rasp工具都是基于OpenRASP的灵感来的,主要就是对核心的Java类通过Javaagent技术,对特定的方法注入字节码,做参数验证。核心技术就是Javaagent,那么分析OpenRASP的agent实现原理,即可明白主流的rasp实现逻辑。 在OpenRASP上优化部分实现逻
word源码java-jniwebshell:jniwebshel​​l
06-05
word源码java 背景 笔者近日看到了这样一篇文章:《那些年我们堵住的洞 – OpenRASP纪实》 想到rasp这的类具是基于java、php运行期的堆栈信息进行分析,可以尝试使用jni技术进行绕过。java技术栈中的jni的原理是使用...
基于RASP的Web安全检测方法
01-19
目前,传统的Web安全检测方法作用于程序输入输出端,不能防范经变形...本方法基于Java语言进行了实现,在实验室证明该方法在准确率和检测时间上优于传统的Web安全检测方法,并在最后分析提出了本方法的部署和应用场景。
Java openrasp记录-01
wfz2333的博客
04-25 1201
一个hook ognl、spel、MVEL表达式注入的例子用的是asm5进行字节码修改采用premain进行插桩,重写transform方法expClassList是要hook的类,这里定义在MethodHookDesc这里判断hook点通过类名,具体其中的方法名,以及方法的描述符其中expClassList中定义了具体要hook的类,就mvel、ognl、spel三种ognl对应的是parseExpression这个方法,其中expressoin参数是具体解析的表达式。
Openrasp源码分析
weixin_30843605的博客
01-15 690
Openrasp是百度关于rasp技术的开源项目,由于工作需要,之前对rasp的源码进行了简单的分析。文章是之前就写好的,现在放出了,希望对大家有写帮助。 OpenRASPjava引擎的源码分析 安装包解压后目录结构如下: RaspInstall.jar是OpenRASPjava引擎的安装(卸载)运行文件,在终端中执行以下命令进行安装(以tomcat为例): java...
百度 OpenRASP 组成分析
Elegant Coding
09-10 779
推广博客: 百度 OpenRASP 组成分析
openrasp-iast:IAST 灰盒扫描工具
05-12
OpenRASP-IAST 基于 的一款灰盒扫描工具。 Quick Start 参考 进行配置。
rasp java tomcat_OpenRASP Java源码分析与总结(二)--Web请求、基于语法分析的SQL和安全基线检测...
weixin_28813763的博客
02-27 461
引子通过《OpenRASP Java源码分析与总结(一)——启动与检测》的分析,我们对OpenRASP Java部分的整体启动和检测流程有了大致的了解。本文将对OpenRASP所支持的js插件、安全基线等几类检测方式中,选取几个比较有代表性的检测进行详细分析。准备1agent Java代码包结构/+|-boot // rasp.jar代码所在目录|+-engine+ // rasp-engine....
openrasp-v8 Java macOS环境编译
fenglllle的博客
03-17 1355
前言 openrasp是百度开源的主动式防御插件,与业务松耦合,在Java语言是使用javaagent的方式注入的,笔者前几章讲过javaagent的实现原理,笔者在使用openrasp的时候,发现openrasp-v8是快照版,并且依赖JNI实现,需要对不同的硬件与操作系统编译特定的函数库。 1. 准备 cmake指令 macOS推荐brew安装,非常方便:brew install cmake mvn指令 maven管理,配置maven的path即可,开发人员常识。 git指令 Git
OpenRASP Java应用自我保护使用
热门推荐
fenglllle的博客
03-20 1万+
前言 笔者上一章写了编译openrasp-v8的JNI编译过程,实际上是百度开源的OpenRASP的引擎依赖包,简单体验了,基础功能非常不错,只是很多管理功能需要2次开发,体验了以下,分享过程。 1. RASP与WAF RASP(Runtime application self-protection)运行时应用自我保护,将自身注入到应用程序中,与应用程序松耦合,进行实时监测、阻断攻击。对于JAVA而言,应用本身通过javaagent技术注入agent来实现,原有代码无需修改。 实际上WAF的部分功能
Java openrasp记录-02
wfz2333的博客
05-06 1164
若nodetect为false,则要探测一些服务器的标志文件去判断目标服务器种类拿到Installer的实例,后面则要根据不同服务器种类去修改相应的服务器的shell启动脚本添加加载rasp的配置项。之前分析到rasp在初始化js插件时将会把plugins下的js文件加载到v8引擎中,来实现热部署,这部分检测逻辑代码太多啦,这里对于不同语言使用js来实现检测逻辑,从而实现通用检测,我只关心java相关的漏洞检查,除了下面列出的一些CVE,还包括java的一些通用漏洞的检测,这部分单独将进行研究。
OpenRA编译指南
qq_36959251的博客
10-09 851
OpenRA源码编译指南 前提:Ubuntu需要翻qiang,在编译时需要下载一些包,Ubuntu需要科学上网。 编译步骤: 1.安装OpenRA需要的库文件: 可使用下面命令安装: sudo apt install mono-devel libfreetype6 libopenal1 liblua5.1-0 libsdl2-2.0-0 xdg-utils zenity wget 2.编译: 进入OpenRA的根目录执行以下命令 sudo make all 3.启动游戏 ./launch-game.s
OpenGauss源码分析-SQL引擎
WAWA战士的博客
01-14 1331
所讨论文件大多位于src\common\backend\parser文件夹下。
关于OpenRASP的绕过实现
最新发布
2401_83799022的博客
11-20 1269
举个例子,当我的Application要加载一个类时,虽然是我的Application类加载器收到了类加载请求,但实际上,Application类加载器并不会直接去加载这个类,而是将这个类的加载委托给它的父类加载器,Extension类加载器,Extension类加载器也不会直接加载这个类,而是再继续向父类委托,也就是Bootstrap类加载器,Bootstrap类加载器在classpath中寻找这个类,并加载。如果成功找到了这个类,那么就直接返回。
Ubuntu安装OpenRasp后台管理
weixin_43876438的博客
11-11 3374
Ubuntu安装OpenRasp后台管理 安装JDK 进入JDK官网,选择JDK8的版本,根据自己虚拟机的架构(查看内核命令:uname -a),下载后缀名为*.tar.gz*的文件 将下载完的压缩包放在自己的目录下:mv /home/gs/下载/jdk-8u311-linux-x64.tar.gz /etc/local/gs/java/。然后进入该文件夹,解压jdk:tar -zxvf jdk-8u311-linux-x64.tar.gz 配置环境变量:vim /etc/profile
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值