2022年 第20周 微信公众号精选安全技术文章总览
洞见网安 2022-5-16
0x1 研究人员在WordPress的学校管理插件中找到后门
黑猫安全 2022-05-22T22:20:15 鹏鹏同学
WordPress插件“School Management Pro”被发现存在严重安全漏洞,该漏洞被分配了CVE-2022-1609标识符,严重性等级为10分。后门存在于8.9版本至9.9.7版本之间,允许未经身份验证的攻击者在受影响的网站上执行任意PHP代码。该插件由印度公司Weblizar开发,用于管理学校运营,拥有超过34万客户。WordPress安全公司在5月4日发现了这一后门,并指出免费版本不受影响。尽管后门已被移除,但其确切来源尚不明确。供应商表示不清楚代码如何进入软件。目前建议客户更新至9.9.7版本以防止漏洞被利用。
0x2 一次内部攻防对抗比赛记录
天权信安 2022-05-22T19:46:21 smiler
本文详细记录了一次网络安全攻防比赛的实战过程。比赛的目标是获取商业计划书,唯一的入口是一个域名www.xxx-qq.com。文章首先介绍了域名信息搜集的过程,包括在线扫描子域名和IP地址。接着,作者在172.3x.xx.136上发现了PHPStudy命令执行漏洞,成功写入webshell。在172.3x.xx.235上,作者利用Nginx解析漏洞进行文件上传并获取shell。172.3x.xx.129上的SSH弱口令被成功爆破,通过搭建frp代理进一步扫描和攻击。在192.168.xx.x6上,作者发现了Weblogic的CVE-2020-12882漏洞,并尝试执行命令。192.168.xx.xx4上的Textpattern CMS通过后台文件上传漏洞被攻破。192.168.xx.180上的Fastjson远程命令执行漏洞被利用。192.168.xx.x2上的redits弱密码被爆破,并通过8080端口反弹shell。172.3x.1x.30上的SMB共享泄露导致密码被爆破,使用WMI远程执行命令。172.3x.1x.59上的Apache log4j2远程命令执行漏洞被利用,通过CS会话搭建socks4a代理并利用CVE-2021-42887提权。文章总结了比赛中的经验和不足,并提供了WP参考链接。
网络安全攻击 漏洞利用 信息收集 横向移动 权限提升 内网渗透 防御绕过 渗透测试
0x3 手把手教你搭个Frida + Sekiro Rpc框架
奋飞安全 2022-05-22T12:04:59 飞哥安全
本文详细介绍了如何搭建Frida + Sekiro Rpc框架。首先,文章概述了目标联手机签名的方案,并提到了之前介绍过的Android连真机签名公网IP更新方案和Sekiro + Xposed签名解决方案。接着,文章以手机号加密算法为例,详细说明了搭建框架的步骤,包括从官网克隆Sekiro项目、构建服务器端、下载发布压缩包以及解压运行。文章还展示了如何在Android应用中使用Sekiro库,以及在Frida中创建Java类处理调用逻辑。最后,文章讨论了如何使用Frida进行状态查看和访问服务,并总结了Java库和Frida的互操作性,同时提醒了Frida hook可能导致的崩溃问题。
移动安全 应用安全 逆向工程 漏洞利用 安全框架 网络通信安全 安全工具 代码审计
0x4 虚假移动应用窃取Facebook凭据和加密货币密钥【密码工程】
水网火安 2022-05-22T10:42:53
近期,网络安全研究者Cifer Fang、Ford Qin和Zhengyu Dong发现Google Play存在大量恶意移动应用,旨在窃取用户敏感信息。其中,Facestealer间谍软件伪装成健身、照片编辑等应用窃取Facebook凭据,而虚假加密货币矿工应用则诱骗用户输入私钥和助记词。研究发现,这些应用通过技术手段逃避检测,且存在多种变体。建议用户警惕这类应用,并通过检查评论和开发者信息来避免潜在风险。同时,避免从第三方来源下载应用,以减少恶意软件的侵害。
移动恶意软件 凭证窃取 加密货币攻击 钓鱼攻击 社交工程 代码混淆 云服务滥用 用户隐私保护
0x5 Spring Cloud Gateway Actuator API SpEL表达式注入命令执行-CVE-2022-22947复现
天权信安 2022-05-21T19:10:55 © smiler
本文详细分析了Spring Cloud Gateway Actuator API中存在的SpEL表达式注入漏洞(CVE-2022-22947)。Spring Cloud Gateway是一个API网关,其3.1.0及3.0.6版本及之前版本存在漏洞,允许攻击者在访问Actuator API的情况下执行任意命令。文章通过vulhub环境复现了该漏洞,详细描述了漏洞利用的步骤,包括添加包含恶意SpEL表达式的路由、触发SpEL表达式执行、查看执行结果以及清理现场的过程。文章强调了该漏洞的影响范围和潜在的威胁,为网络安全学习者提供了实战案例和防御建议。
API安全 命令执行漏洞 Spring Cloud Gateway 漏洞复现 SpEL表达式注入 网络安全
0x6 TRY HACK ME | Daily Bugle「HASH破解+YUM提权」
航安全 2022-05-21T12:30:03 © AKAHRZ
本文详细介绍了在TRY HACK ME渗透测试靶场中的Daily Bugle房间挑战。作者通过SQL注入攻击Joomla CMS,成功获取账户用户名和密码。接着,作者使用hashcat破解了账户的bcrypt加密密码。通过获取的密码,作者登录到后台,并尝试执行反向shell以获取普通权限。然而,由于没有提权,作者在尝试获取flag时遇到了权限限制。随后,作者通过查看configuration.php文件获取了密码,并使用ssh登录到jjameson账户,成功获取了user flag。最后,作者通过sudo -l命令发现可以使用yum提权,并成功提升至root权限,最终获取了root flag。文章还提供了一些工具和资源的链接,并鼓励读者多练习和关注相关公众号以获取更多信息。
渗透测试 SQL注入 哈希破解 YUM提权 Joomla CMS 反向Shell 信息收集 漏洞利用 权限提升
0x7 干货分享 | 冰蝎webshell免杀(奇淫巧计)
Linux网络安全 2022-05-21T11:21:35
本文主要讲述了一名网络安全学习者在复习Web安全漏洞过程中,尝试使用冰蝎Webshell时遇到被查杀的问题。文章首先介绍了冰蝎Webshell的原始代码和查杀情况,随后详细分析了免杀的思路,包括混淆代码、使用PHP字符串逆置函数、魔术函数等方式来绕过杀软的静态防护。文章还提到了特征码定位技术和二分法尝试修改特征码来绕过杀软。作者通过实际操作,对冰蝎Webshell进行了静态免杀处理,并尝试了加密和混淆代码的方法。最后,作者总结了对免杀技巧的学习心得,并强调免杀学习需要不断学习和实践。
Web安全 后门技术 免杀技巧 代码混淆 安全测试 漏洞挖掘 加密技术 漏洞利用
0x8 Cytrox的Predator间谍软件通过零日漏洞攻击Android用户
黑猫安全 2022-05-21T10:07:23 鹏鹏同学
谷歌威胁分析小组(TAG)揭露了北马其顿的间谍软件开发商Cytrox利用五个零日漏洞攻击Android用户的行为。这些漏洞包括四个Chrome和一个是Android系统的。Cytrox将这些漏洞打包卖给多个国家的政府支持的行为者,用于至少三个不同的攻击活动。攻击者利用这些漏洞分发名为Alien的恶意软件,进而加载Predator植入物到受害者的Android设备上。这些活动通过鱼叉式网络钓鱼电子邮件发起,受害者点击链接后会被重定向到包含漏洞利用的流氓域。Google TAG指出,攻击者利用了补丁部署的时间差,强调了需要跨领域合作来解决商业监控行业的问题。
零日漏洞攻击 间谍软件 网络钓鱼 沙箱逃逸 政府支持的黑客活动 跨平台攻击 恶意软件分发
0x9 黑客用假Windows 11下载欺骗用户以分发Vidar恶意软件
黑猫安全 2022-05-21T10:07:23 鹏鹏同学
近期出现了一种新型网络攻击手段,黑客通过设立假冒的Windows 11下载网站来诱导用户下载并安装携带Vidar信息窃取者的恶意软件。据Zscaler发布的报告显示,这些欺诈性的网站提供了伪装成Windows 11 ISO镜像文件的恶意安装包,一旦用户下载并运行这些文件,便会遭受Vidar恶意软件的感染。Vidar恶意软件的变种能够从Telegram和Mastodon等社交平台上托管的攻击者控制服务器(C2)获取配置信息。用于传播恶意软件的虚假域名包括ms-win11.com、win11-serv[.]com、win11install[.]com以及ms-teams-app[.]net。值得注意的是,这些ISO文件体积异常庞大(约330MB),内含一个经过签名认证(可能使用了2019年泄露的Avast证书)的大容量可执行文件,实际包含的恶意软件体积仅为3.3MB,其余部分填充了无效数据。Vidar恶意软件通过与C2服务器建立联系,下载合法的DLL文件,并从受感染系统中窃取敏感数据。攻击者还利用了Mastodon和Telegram平台来隐藏C2服务器的IP地址。为了防止此类攻击,用户应当提高警惕,在下载软件时确保来源可靠。
社交工程 恶意软件分发 域名欺诈 证书滥用 远程控制 数据泄露 合法软件滥用 信息窃取
0xa 黑客利用VMware Horizon通过NukeSped后门攻击韩国
黑猫安全 2022-05-21T10:07:23 鹏鹏同学
朝鲜支持的Lazarus集团被观察到利用VMware Horizon服务器中的Log4Shell漏洞,部署了NukeSped(又名Manuscrypt)后门,攻击韩国目标。这些攻击利用了未打补丁的VMware Horizon产品。首次入侵事件在四月份被发现,随后多个与中国和伊朗结盟的威胁行为者也采用了相同手法。NukeSped后门能够执行多种恶意活动,包括捕获击键、截屏、访问网络摄像头和部署其他恶意负载。去年,卡巴斯基揭露了使用NukeSped变体ThreatNeedle的钓鱼活动,旨在窃取国防公司的关键数据。该后门还能窃取浏览器和电子邮件账户信息,以及Microsoft Office和Hancom文件的详情,为攻击者提供横向移动攻击的信息收集。
APT攻击 Log4Shell漏洞 后门植入 数据窃取 鱼叉式网络钓鱼 跨平台恶意软件
0xb 某达OA SQL注入漏洞(CNVD-2022-31165)
零幺sec 2022-05-20T15:55:27 © 匹夫
某达OA系统存在SQL注入漏洞(CNVD-2022-31165),该漏洞允许攻击者绕过全局过滤函数执行恶意SQL语句,从而泄露数据库中的敏感信息。受影响的版本为某达OA 11.10及以下。漏洞分析指出,在删除字段功能点处,由于过滤不严格,攻击者可以绕过全局过滤,直接拼接SQL语句进行执行。漏洞存在于路由general/system/approve_center/flow_guide/flow_type/variable/delete.php,其中$flow_id和$id参数直接拼接到SQL语句中,并通过prepareQuery()函数执行。尽管调用了全局过滤函数sql_injection(),但过滤机制存在缺陷,攻击者可以通过关键字替换绕过过滤。文章还介绍了如何利用笛卡尔积进行延时测试,通过替换被过滤的关键字(如使用char()替换ascii()),来进行SQL注入攻击。最后,文章感谢读者的关注。
SQL注入 OA系统安全 Web应用安全 数据泄露 漏洞分析
0xc 利用icmpsh工具反弹Shell
天权信安 2022-05-20T15:21:10 © smiler
本文介绍了利用ICMP隧道技术反弹Shell的方法。ICMP隧道是一种特殊的通信协议,它不需要开放端口即可进行通信,这使得它能够绕过防火墙的限制。文章中提到了常见的ICMP隧道工具,如icmpsh、PingTunnel等。详细介绍了如何使用icmpsh工具进行反弹Shell攻击,包括攻击机和目标主机的IP配置、工具的安装和配置、以及如何在目标主机上运行相应的命令来获取Shell。文章还提到了在使用icmpsh工具前需要关闭本地系统的ICMP应答,以确保Shell的稳定运行。
网络攻击 协议漏洞 防火墙绕过 反弹Shell 网络安全工具 Python脚本 跨平台工具 系统配置
0xd 免杀工具 -- Bypass_AVu200b
玄武盾网络技术实验室 2022-05-20T10:27:37 玄武盾实验室
本文介绍了一款名为Bypass_AV的免杀工具,由Axx8开发,旨在绕过主流反病毒软件如360、火绒及Windows Defender的检测。该工具主要用于生成和加载ShellCode,使其能够不被上述安全软件识别并执行。文章首先描述了Bypass_AV的基本功能,即作为一个msf(Metasploit Framework)免杀加载器,能够执行免杀shellcode。接着详细介绍了使用步骤:首先确保操作系统环境兼容,推荐Windows 7 64位及以上版本;然后通过msfvenom生成64位ShellCode,并将其填入Bypass_AV.py脚本中指定位置;之后使用Python 3.8.6和pyinstaller 4.7将脚本打包成exe文件;最后配置Metasploit监听等待目标机器执行Bypass_AV.exe后回连。文中还提到了工具的更新频率高,一旦特征被加入病毒库则会修改代码继续维持免杀效果。此外,提供了通过GitHub项目主页或微信公众号下载工具的方法。
0xe 利用第三方 Web 脚本窃取用户敏感数据的攻击行为与日俱增
天津恒御科技有限公司 2022-05-20T08:01:00
针对用户个人或敏感数据的窃取是当前企业在线业务面临的最大威胁之一。包括物理盗窃设备、公司网络内的内部攻击以及
0xf 【漏洞复现】CVE-2020-11012 privilege escalation
御林安全 2022-05-19T20:25:00 © cokeBeer
本文介绍了一个存在于MinIO服务器中的垂直越权漏洞(CVE-2020-11012),该漏洞存在于2019年12月17日至2020年4月23日的版本中。文章首先声明了内容仅供学习交流,提醒读者传播利用技术可能带来的后果自负。接着,通过本地调试分析,作者详细复现了漏洞利用过程。首先,使用MinIO的客户端命令行工具mc创建管理员账户,然后通过管理员权限添加用户。在正常情况下,使用mc admin user list命令可以查询到用户列表。然而,通过Burp Suite抓包工具拦截请求并修改请求头中的管理员accessKey,可以绕过权限验证,查询到用户列表。文章进一步分析了漏洞代码,指出在cmd/auth-handler.go文件中的validateAdminSignature函数中,由于Error变量的重用和覆盖,导致在签名错误的情况下,函数最终返回的Error为空,从而绕过了权限校验。最后,文章给出了修复建议,即在发现签名错误后应立即返回,以防止权限绕过。
权限提升 漏洞复现 Minio 签名绕过 代码审计 HTTP请求分析 安全研究
0x10 VMware 高危漏洞风险提示
安恒信息CERT 2022-05-19T17:20:08
近日,VMware官方发布安全公告,修复了多个安全漏洞,包括身份验证绕过漏洞(CVE-2022-22972)和本地权限提升漏洞(CVE-2022-22973)。这些漏洞存在于VMware Workspace ONE Access、Identity Manager、vRealize Automation和vRealize Suite Lifecycle Manager等多个产品中。身份验证绕过漏洞可能导致未经身份验证的用户获得管理访问权限,CVSSv3基本得分最高为9.8;而本地权限提升漏洞则允许具有本地访问权限的恶意用户提升权限至root,CVSSv3基本得分最高为7.8。目前漏洞细节和利用代码尚未公开,但存在被利用的风险。建议用户及时检查受影响的产品版本,并下载补丁进行升级,以确保系统安全。
漏洞公告 身份验证绕过 权限提升 VMware漏洞 安全补丁 网络安全 CVE编号 CVSS评分
0x11 Zyxel命令注入漏洞风险提示(CVE-2022-30525)
安恒信息CERT 2022-05-19T17:20:08
近日,安恒信息CERT监测到Zyxel官方发布安全公告,披露了一个未经身份验证的远程命令注入漏洞(CVE-2022-30525),该漏洞存在于Zyxel防火墙版本的CGI程序中。攻击者可利用此漏洞在未经身份验证的情况下通过构造恶意数据执行系统命令注入攻击,修改特定文件并执行任意代码。受影响的型号包括USG FLEX系列、ATP系列、VPN系列等,涉及多个固件版本。官方已发布修复补丁,建议用户及时升级至安全版本。安恒信息提供了多种防护方案,包括集成漏洞防护能力的防护类产品、AiLPHA大数据平台、APT攻击预警平台、明御APT攻击预警平台以及漏洞扫描系统等,以帮助用户检测和防御此漏洞。
命令注入漏洞 远程攻击 Zyxel防火墙 固件更新 网络安全公告 安全漏洞 系统命令执行
0x12 攻防演练场景中的加密流量检测技术
信息安全与通信保密杂志社 2022-05-19T15:01:52 松果
本文针对攻防演练场景中的加密流量检测技术进行了深入探讨。随着加密手段的普及,加密流量检测变得尤为重要。文章首先介绍了加密流量检测的两大类方法:解密后检测和不解密检测。解密检测虽然可以直接转化为明文进行检测,但存在性能损耗、隐私泄露等问题。因此,文章重点讨论了不解密检测技术。文中详细分析了入联、横向、出联三类加密流量的检测方法,包括利用数学模型、行为模型、特征检测等方法对渗透、后渗透、横向渗透和出联阶段的加密威胁进行识别。文章还介绍了人工智能机器学习在加密流量检测中的应用,以及如何通过多模型方案对加密木马通信进行报警。最后,文章总结了加密流量检测技术的架构和未来研究方向。
网络安全攻防 加密流量检测 网络安全技术 渗透测试 网络安全工具 协议分析 人工智能与安全 网络安全策略
0x13 docker CVE-2019-14271分析与复现
石头的安全料理屋 2022-05-19T12:30:56 ©
本文写作时间为2021-05-30, 近日偶然发现没有发布在公众号,于是从博客搬过来
0x14 docker学习之可可带你学逃逸(一)
天命团队 2022-05-19T11:25:49 © Vigorous
本文详细介绍了Docker容器逃逸的几种方法及其技术背景。首先,文章解释了Docker基于Namespace、cgroups和联合文件系统(如overlayFS)实现容器隔离的基本原理。接着,具体探讨了几种可能导致容器逃逸的安全漏洞及利用方式:1) 使用--privileged标志启动容器赋予其主机特权访问权限;2) 挂载/var/run/docker.sock文件至容器内,使容器能执行任意Docker命令;3) Docker Remote API未授权访问允许攻击者通过API控制Docker Daemon;4) 挂载/proc文件系统以操控核心模式设置,进而实现代码注入;5) SYS_ADMIN能力滥用结合关闭AppArmor安全策略,允许容器执行mount操作。每种方法都附有详细的步骤说明和实际命令示例,并引用了相关研究资料作为参考,旨在提高读者对Docker安全性的认识和防范意识。
Docker 安全 容器逃逸 Linux 内核技术 系统安全 网络安全防御 代码审计 漏洞利用
0x15 新的Sysrv僵尸网络变体劫持Windows和Linux与加密矿工
黑猫安全 2022-05-18T08:47:41 鹏鹏同学
微软发布警告,指出Sysrv僵尸网络的一种新变种Sysrv-K正在积极利用多种安全漏洞,在Windows和Linux系统上部署加密货币挖矿程序。Sysrv-K自2020年12月首次出现以来,已经进化出更复杂的攻击手段,包括扫描Web服务器上的多种漏洞,如路径遍历、远程文件泄露、任意文件下载以及远程代码执行漏洞等。特别是它利用了Spring Cloud Gateway中的严重漏洞CVE-2022-22947,该漏洞因严重性被美国网络安全和基础设施安全局纳入已知被利用漏洞目录。Sysrv-K还会扫描WordPress配置文件及备份文件以窃取数据库凭证,进一步控制Web服务器。此外,它改进了与命令和控制服务器之间的通信机制,使用Telegram Bot进行通讯。感染后,Sysrv-K利用SSH密钥进行横向移动,并在其他系统上部署自身,扩大僵尸网络规模。Lacework Labs的研究人员强调,定期更新面向公众的应用程序的安全补丁以及强化凭证管理是防范此类威胁的关键措施。
僵尸网络 加密劫持 漏洞利用 跨平台攻击 命令与控制(C2) 横向移动 安全更新 凭据卫生
0x16 PHPstorm与PHPstudy中Debug调试配置
零幺sec 2022-05-17T20:51:27 © 匹夫
本文主要介绍了在PHP代码审计过程中,如何配置PHPstorm和PHPstudy进行Debug调试。首先,文章阐述了配置PHPstudy中的Xdebug调试组件,包括打开软件管理界面,选择对应PHP版本,开启Xdebug调试组件,并设置监听端口。接着,文章介绍了在php.ini文件中自动写入的Xdebug配置参数,如是否收集参数、自动跟踪、跟踪输出路径等,并详细解释了各个参数的作用。随后,文章转向PHPstorm的Xdebug配置,包括在设置中配置调试端口,添加服务器,选择PHP版本和CLI解释器版本,创建PHP Web页面配置,以及验证配置正确性。文章还提供了解决调试程序时从index.php开始调试和Apache报500错误的排查方法。最后,作者提供了获取PHPstorm和PHPstudy安装包的方式,并感谢读者的关注。
0x17 攻防演练场景中的加密流量检测技术
北京观成科技 2022-05-17T08:00:46 © 松果
本文探讨了攻防演练场景中加密流量检测技术的重要性。在当前网络安全环境下,加密手段已成为主流,加密流量检测技术因此变得尤为重要。文章首先介绍了加密流量检测的两大类方法:解密后检测和不解密检测。解密后检测虽然可以直接检测,但存在性能损耗、隐私泄露等问题。而不解密检测则逐渐受到重视。文章详细分析了攻防演练场景下的加密流量检测,包括入联、横向、出联三个阶段。对于入联阶段,主要针对HTTPS、RDP、SSH等协议的扫描探测和暴力破解进行检测;横向渗透阶段则关注内网资产的扫描探测;出联阶段则涉及加密远控木马和隐蔽隧道。文章最后总结了使用多模型机器学习、指纹检测、特征检测、行为检测、统计检测等方法对加密流量进行针对性检测的成果,并强调了攻防演练场景下加密流量检测的重要性以及未来研究的方向。
网络安全加密技术 流量分析 攻防演练 网络安全检测 漏洞扫描 木马检测 人工智能应用 数据安全
0x18 关于openresty的TLS指纹校验的扩展和实现
微辣安全 2022-05-16T22:32:17 © vela-security
本文讲述了作者在openresty上实现TLS指纹识别功能的过程。起因是一位前同事的需求,希望实现类似JA3的TLS指纹识别算法。作者分析了现有的nginx相关代码,决定自行开发。通过修改openresty的ngx_event_openssl.c文件和相关数据结构,在SSL握手阶段提取信息并计算MD5值。利用openresty的ffi功能,作者绑定了lua接口,并开发了自定义的TLS信息处理函数。最终,作者完成了lua代码的开发和测试,并得出结论,虽然JA3指纹可能不是唯一的情报分析手段,但在C端指纹分析和API防护方面具有一定的效果。
TLS指纹识别 OpenResty 网络安全监控 代码审计 Lua脚本开发 API防护
0x19 面向资源受限安全芯片的开放式运行环境设计
信息安全与通信保密杂志社 2022-05-16T18:07:28 © Cismag
本文详细探讨了安全芯片开放式架构的设计及其在网络安全领域的应用。文章指出,开放式架构通过分离用户程序和操作系统,降低了应用程序与安全芯片操作系统的耦合性,但其存在国外技术垄断、执行效率低、内存易泄露等问题。为了解决这些问题,文章提出了一种面向资源受限安全芯片的开放式运行环境设计方案,该方案通过重新设计现有主流运行环境,结合行业安全应用需求扩展指令集,提升了执行效率、应用开发便捷性和安全性。文章还详细介绍了开放式运行环境的总体架构,包括上位机编译器和芯片内部虚拟机解释器,以及针对资源受限的通用语言规范限定、编译转换、常量池组件和解释执行等关键环节。此外,文章还分析了指令集性能提升、虚拟机安全分析以及面向多应用的设计,如应用防火墙、应用协同访问和应用场景融合等。最后,文章强调了开放式运行环境在支持国产自主可控、打破国外技术垄断方面的创新和提升,为安全芯片在数字身份、金融、电信等领域的广泛应用提供了技术支持。
安全芯片 开放式架构 操作系统安全 指令集安全 虚拟机安全 多应用融合 自主可控 资源受限环境 嵌入式系统 网络安全
0x1a F5 BIG-IP远程命令执行漏洞(CVE-2022-1388)
HK安全小屋 2022-05-16T13:56:03 Dzd_Hk
F5 BIG-IP远程命令执行漏洞(CVE-2022-1388)
0x1b HTB靶机11- Popcorn-WriteUp
X的碎碎念 2022-05-16T09:10:05 © Xavier
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
