吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 25478|回复: 97
收起左侧

[漏洞分析] 基于CVE-2018-20250的漏洞分析实战

  [复制链接]
Dustin_Du 发表于 2020-2-15 11:26
本帖最后由 Dustin_Du 于 2020-2-15 20:21 编辑

论坛格式调整比较麻烦,其具体可参考CSDN文章,望各位海涵,用户名相同

一、 概述
众所周知WinRAR是一款功能强大的压缩包管理器,作为档案工具RAR Windows环境下,可用于备份数据、压缩文件、解压RAR/ZIP等格式的文件、创建RAR/ZIP等格式的压缩文件,得到了较为广泛的应用。2019220日,Check Point团队爆出了一个关于WinRAR存在19年的漏洞,不法分子可用利用该漏洞取得受害者计算机的控制权限。该团队经过深入研究检测相继发现了WinRAR的四个安全漏洞,分别为ACE文件验证逻辑绕过漏洞(CVE-2018-20250)、ACE文件名逻辑验证绕过漏洞(CVE-2018-20251)、ACE/RAR文件越界写入漏洞(CVE-2018-20252)以及LHA/LZH文件越界写入漏洞(CVE-2018-20253)。漏洞攻击者可利用上述漏洞,通过诱使用户使用WinRAR打开恶意构造的压缩包文件,将恶意代码写入系统启动目录或者写入恶意dll劫持其他软件进行执行,实现对用户主机的任意代码执行攻击。国家信息安全漏洞共享平台(CNVD)对上述漏洞的综合评级为高危,并于2019221日收录该系列漏洞(CNVD-2019-04911CNVD-2019-04912CNVD-2019-04913CNVD-2019-04910,分别对应CVE-2018-20250CVE-2018-20251CVE-2018-20252CVE-2018-20253),同时向外界发出安全公告。
二、漏洞介绍

CVE-2018-20250漏洞的发现在科技界引起了异常轩然大波,尽管这个漏洞的利用条件很有限,实际危害并不是很高,然而令人恐惧的是这个漏洞已经遗留了19年,并且影响到全球5多亿的WinRAR用户。究其漏洞产生的根本原因,发现问题的关键在于5.70 Beta 1之前版本的WinRAR使用了陈旧的动态链接库unacev2.dll。该动态链接库的编译时间为2005年,在处理ACE格式文件过程中发挥作用,然而却无任何的基础保护机制(ASLR, DEP )。所以当使用WinRAR对恶意构造的ACE文件进行解压操作时,由于没有对文件名进行充分过滤,产生了目录穿越现象,其中隐藏的恶意文件可以实现被写入计算机的任意目录下,甚至可以写入开机启动项中,导致恶意文件的执行。经研究发现这种漏洞的影响非常广,其影响范围包括:
  • 发布时间早于5.70 Beta 1版本的WinRAR软件;
  • 使用unacev2.dll动态共享库的解压、文件管理类工具软件。

结合腾讯玄武实验室后续的检测结果,可以发现除WinRAR软件外,还包括6.2.0.0以及之前版本的Bandizip压缩工具,5.9.8.10907以及之前版本的2345好压,早于4.0.0.1170版本的360压缩等共计38款压缩软件此漏洞影响。但好在相关的平台,厂商,软件提供商都在第一时间站了出来,积极应对该系列漏洞,目前网络上漏洞利用原理已公开,厂商也已发布新版本修复此漏洞。仔细品位,可发现CVE-2018-20250此种漏洞思路比较简单,在实际利用过程中简单易用,因此备受病毒黑色产业的青睐。但WinRAR unacev2.dll任意代码执行漏洞利用还存在一个明显的不足,即需要受害者重启系统后恶意代码才能得以执行。在腾讯安全御见威胁情报中心对该类型漏洞攻击的后期监控中,发现攻击者对WinRAR漏洞利用的手段进行了升级创新,一定程度上减少了对受害者主动重启系统的依赖,同时确保恶意木马能在第一时间启动,如比较有名的Lime-RAT远控木马,该远控木马的功能十分强大,可通过修改配置信息或者接收C2服务器(C&C的缩写,远程命令和控制服务器)指令,以实现文件加密勒索、挖矿和下载其他恶意组件等功能。此外木马还可以监视剪切板,当检测到受害者主机进行数字货币交易时,直接替换钱包地址达到抢钱目的,对比特币矿工及数字加密币交易的人群危害极大。
三、 漏洞分析
3.1 unacev2.dll任意代码执行漏洞缺陷概述
  

1

1

1 常见攻击方式

该种方式是比较简单常见的攻击方式,攻击者利用此漏洞构造恶意的压缩文件,当被攻击者在不知情的情况下对其解压释放时,解压软件需要对解压目标的相对路径进行解析。此时unacev2.dll中的CleanPath函数因存在过滤不严导致目录穿越漏洞,隐藏其中的恶意木马将被写至开机启动项,最终用户重启电脑时将促成恶意木马的执行。因此为了该漏洞的深层原因,我们需要探究unacev2.dll的使用细节,通过对其进行代码逆向,发现两个关于ACE文件归档提取的关键函数:初始化函数ACEInitDll和提取函数ACEExtract。然而在IDA中难以查看这两个函数的参数定义,于是另辟蹊径在github中找到了一个同样使用这种结构的开源项目FarManager,该项目使用此dll另外该项目的创建者也是WinRAR的创建者,具有较高的可信度。下载完毕后通过使用sourceinsight程序编辑器打开Github中的开源FarManager工程,快速搜索关于ACEInitDllACEExtract的具体定义,其结果如下图,本文仅展示函数在项目中的大概位置,具体定义读者可自行实践获得:

2

2
                    

图2 ACEInitDll函数定义

3

3
                             
图3 ACEExtract函数定义

其中pACEInitDllStruc 指针结构体比较关键,需要重点注意一下:

4

4
        
图4 pACEInitDllStruc指针结构体定义

结合Check Point团队发布的漏洞原理解析文章,下面结合IDA静态分析对unacev2.dll进行深入研究,重点关注以下四个关键函数:CleanPathGetDevicePathLen函数、WinRAR Validators/Callbacks回调函数以及触发目录遍历漏洞的sprintf函数。
3.2 CleanPath关键函数分析
下面是关于CleanPath函数的伪代码:

5

5
                 
图5 CleanPath函数伪代码                    
     
     1.如果Path的第2、3个字符为“:”、“\”,那么将Path第4个字符之前的部分清除。     
     2.如果Path的第2个字符为“:”,第3个字符不为“\”,那么将Path第3个字符之前的部分清除。     
     3.在Path中寻找“..\”出现的位置,PathTraversalPos将指向此位置。若找到,执行4;否则执行7。   
     4.如果PathTraversalPos指向的位置正是Path开始的位置(e.g...\some_folder\some_file.ext)或者PathTraversalPos指向位置的前一个字符是“\”,执行5;否则,执行6。  
     5.将Path第4个字符之前的部分清除,继续在Path中寻找“..\”出现的位置,若找到,执行4;否则,执行7。
     6.在Path+1处向后寻找“..\”出现的位置,若找到则执行步骤4;否则执行7。     
     7.返回Path。               
      
这段伪代码的大概流程可描述为:由分析可知该函数的作用为过滤一定格式的路径序列,如盘符名:\是在步骤1被清除掉的,盘符名:是在步骤2被清除掉的;盘符名:\盘符名:是通过步骤1和步骤2两个步骤清除掉的;而\..\是在步骤5被清除掉的。

3.3 GetDevicePathLen关键函数分析

下面是关于GetDevicePathLen函数的伪代码:

6

6
   
图6 GetDevicePathLen函数伪代码

这段伪代码的大概流程可描述为:        

     1.如果Path中第1个字符为“\”,执行2;否则,执行7。     
     2.如果Path中第2个字符为“\”,执行3;否则,执行6。     
     3.如果在Path第3个字符之后没有找到“\”,返回0;否则将SlashPos指向此位置。     
     4.如果在SlashPos+1之后没有找到“\”,返回0;否则将SlashPos指向此位置。     
     5.将SlashPos指向位置减去Path指向位置再加1赋值给Result,然后执行步骤9。     
     6.Result赋值为1,然后执行9。     
     7.如果Path第2个字符为“:”,Result赋值为2。     
     8.如果Path第3个字符为“\”,Result值加1。     
     9.返回Result。                     
      
由分析可知该函数的作用为检查文件的相对路径即Path,Result将作为结果表示相对路径的长度返回。可以将Result取值有两种情况:非0和0。
例子如下:l 待检查路径为C:\some_folder\some_file.ext则函数返回值3
l 待检查路径为\some_folder\some_file.ext则函数返回值1
l 待检查路径为some_folder\some_file.ext则函数返回值0
3.4 WinRAR Validators/Callbacks回调函数分析
下面是关于WinRAR Validators/Callbacks回调函数的伪代码:

7

7

图7 WinRAR Validators/Callbacks回调函数伪代码

其中return返回的为宏定义常量,具体含义可参考FarManager项目中的定义说明。

8

8

图8 宏定义常量定义
由分析可知该函数会对待提取文件的相对路径进行检查(其中伪代码里“SourceFileName”表示待提取文件的相对路径),确保路径满足以下条件:
1.第一个字符不等于“\”或“/”;
2.文件名不以字符串“..\”或“../”开头;
3.字符串中不存在“\..\”、“\../”、“/../”或“/..\”。

3.5 触发目录遍历漏洞的sprintf函数

9

9
     
图9 触发目录遍历漏洞的sprintf函数在IDA中的位置
在IDA中最终定位到产生漏洞的真正元凶,即红圈中的sprintf函数。在loc_40CC32基本块的上方有两个分支,而GetDevicePathLen的函数的调用结果影响着代码流的走向。

如果调用GetDevicePathLen的结果等于0,则执行:

9-1

9-1

反之,则执行:

9-2

9-2

而最后一个sprintf即是触发目录遍历漏洞的错误代码,这意味着相对路径实际上将被视为应写入/创建的文件/目录的完整路径。
3.6 漏洞利用思路
经过对解压过程中unacev2.dll中起作用的若干关键函数模块的分析,我们便可尝试构造攻击向量,构造思路如下图所示:

10

10

图10 攻击向量构造思路
通过该思路我们可以找到一个找到了一个向量,它允许我们将文件提取到系统自启动文件夹,而无需关心用户名。下面我们正向分析它:

10-1

10-1

先由CleanPath函数过滤转换为下列路径,再次过程中删除了“C:\C:”:

10-2

10-2


接着由GetDevicePathLen函数验证路径序列得到返回2,故此目标文件夹将被忽略,将触发目录遍历漏洞的sprintf函数。
  • 接着由WinRAR的回调函数对解压目标路径进行验证:
参考3.4中的验证条件可发现上面得到最终路径可以绕过路径遍历验证。但是只能回退一个文件夹。而我们需要在不知道用户名的情况下将文件解压缩到目标系统自启文件夹。
  • 最后分析文件提取完毕后的路径

如果从WinRAR安装目录中启动解压软件,则“当前目录”将是:

10-3

10-3

然而通过双击存档文件或右键单击存档文件中的“extract”来执行WinRAR,则WinRAR的“当前目录”将成为存档所在文件夹的路径。
例如,如果存档位于用户的“下载”文件夹中,则WinRAR的“当前目录”将为:

10-4

10-4

  如果存档位于Desktop文件夹中,则“当前目录”路径将为:

10-5

10-5

   所以当在桌面或是在下载文件夹中进行解压操作时将得到最终路径为:

10-6

10-6


四、漏洞实例分析与验证
对该漏洞的利用攻击不能跨盘符,即受害者进行解压文件触发漏洞时,必须在系统盘,且在不知道计算机主机名的情况下,只能在主浏览器的默认下载路径下(C:\Users\Administrator\Downloads)或者桌面进行解压,或者多猜几个启动项路径。另外产生漏洞的DLL文件即UNACEV2.DLL,不能识别相对路径,所以漏洞利用条件还包括其文件名部分必须为绝对路径。以下是几种操作系统下的开机启动项路径,可以发现在个人PC上由于用户名的多样性故难以猜测到准确的路径,而服务器上用户名一般为Administrator,所以这个漏洞在服务器上利用度比较高。           

                              表1 不同操作系统下的开机启动项路径
Win2003
C:\Documents and  Settings\Administrator\「开始」菜单\程序\启动   
Win2008
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start-  Menu\Programs\Startup
Win2012
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start-  Menu\Programs\Startup
Win7
C:\Users\用户 \AppData\Roaming\Microsoft\Windows\Start- Menu\Programs\Startup
Win10
C:\Users\用户\AppData\Roaming\Microsoft\Windows\Start-  Menu\Programs\Startup

本次试验使用的是Win7操作系统。
4.1 UNACEV2.dll校验CRC引发漏洞
漏洞主要是由Winrar用来解压ACE文件时使用的动态链接库UNACEV2.dll引起的,UNACEV2.dll在处理filename时只校验了CRC。故我们可以通过使用010Editor修改filename将恶意文件解压到启动目录,但是在修改完成后,CRC校验会失败,所以我们还要再去修改CRC,具体过程请见下面的分析。首先列出本次实验的工具清单:
  工具清单  
  虚拟机  
VMware Workstation11.0.0
  系统镜像  
Win7家庭版
  WinRAR  5.60简体中文版  
https://www.rarlab.com/rar/winrar-x64-560sc.exe
  Python-3.7.2-amd64.exe  
https://www.python.org/ftp/python/3.7.2/python-3.7.2-amd64.exe
  010Editor  
https://download.sweetscape.com/010EditorWin64Installer901.exe
  Wace和模板文件  
https://github.com/360-A-Team/CVE-2018-20250
  EXP  
https://github.com/WyAtu/CVE-2018-20250
一切软件安装完毕后,下面正式进入实验部分:
  • 创建一个简单的bat文件,最终的漏洞利用便是将该文件写入系统启动项中:

11

11

  • 使用WinACE对1.bat进行压缩,选择store full path模式,得到文件1.ace:

12

12
  • 使用https://github.com/WyAtu/CVE-2018-20250中的acefile.py脚本检查文件1.ace的header信息:

13

13


红色部分为需要修改的内容,同时使用010Editor打开1.ace,对比可知(该ace文件为小端模式):  

14

14

第一个红色框内为:hdr_crc的值:0xC98C;第二个红色框内为:filename即文件的名字,包括其路径。前面的0x001A为filename的长度,十进制为26。

15

15

红色框内为:hdr_size,代表头部大小,值为0x0039表示其头部大小57。 复制启动项目录路径,并在ace文件中修改:

16

16

稍作修改:

17

17

18

18

修改filename的长度:

19

19


修改hdr_size:

20

20


使用acefile.py解析ace文件,可以看到报错,需要修改hdr_crc:

21

21

22

22


使用acefile.py脚本检查文件1.ace的header信息:

23

23

修改完毕后另存为1.rar(实际上不该也行,即下一步直接解压1.ace):

24

24

选择解压到当前文件夹或解压到文件夹1都可以,可以看到bat文件成功解压到开机启动项里。

25

25

  重启电脑发现自动运行bat文件弹窗。

26

26

4.2 msf利用
msf是一个免费的、可下载的框架,它本身附带数百个已知软件漏洞的专业级漏洞攻击工具,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。结合CVE-2018-20250漏洞,本小节实验将实现后门程序的植入,从而复现一次比较有危害性的攻击,具体实验环境如下:
  工具清单  
  虚拟机  
VMware Workstation11.0.0
  系统镜像1  
Win7家庭版
  Win7  ip  
192.168.116.147
  系统镜像2  
kali-linux-2018.4-amd64.iso
  内核版本2  
4.18.0-kali2-amd64  #1 SMP Debian 4.18.10-2kali1 (2018-10-09) x86_64 GNU/Linux
  Kali  ip  
192.168.116.128

首先在kali环境下生成目标机器的后门程序,需要知道目标机器ip地址:

27

27

接着拿到shell.exe后门程序后构造压缩文件,可参考4.1节中恶意压缩文件的构造过程。对构造后的文件使用acefile.py脚本检查其header信息:

28

28

对改造后的shell.ace文件选择解压到当前文件夹或解压到文件夹shell都可以,可以看到bat文件成功解压到开机启动项里。

29

29

在kali中进入msfconsole,加载exploit/multi/handler模块:

30

30

设置本地主机ip地址及监听端口,然后尝试攻击监听exploit :

31

31

32

32

  重启win7,发现kali中已渗透成功,拿到目标机器shell:

33

33

34

34

35

35

五、 心得体会
在分析漏洞过程中,查阅了各种资料,本身漏洞利用机制比较容易理解,但是真正的利用原理是比较复杂的,需要阅读相关项目的代码以及需要在IDA中找到关键函数。结合文档和静态分析结果基本能把基本的逻辑搞明白,剩下的实践过程相对比较简单。经过岁月的洗礼,如今在网上搜索WinRAR漏洞利用案例,可发现其利用手段在富有想象力与能动力的黑客手中已经更新出了很多版本。挑选两个比较典型的升级版攻击利用手段如下所示:

36

36

37

37

通过对该漏洞的分析实践,笔者对解压软件中的一些模块具有了更深的了解,特别在对WinRAR创建者的FarManager项目源码阅读过程中收获颇丰。而对于漏洞攻击利用的升级版本,由于时间有限没有来得及深入研究,但隐约之中感觉到漏洞的利用手段在一定程度上具有相通之处,后续仍需钻研学习之。              

参考资料
[1]Extracting a 19 Year Old Code Execution from WinRARhttps://research.checkpoint.com/extracting-code-execution-from-winrar/
[2] WinRAR目录穿越漏洞浅析及复现(CVE-2018-20250)https://mp.weixin.qq.com/s/KbDliC2e0_bkFFur4nx-LQ
[3] WinRAR漏洞CVE-2018-20250攻击样本分析 http://www.52bug.cn/hkjs/5732.html
[4] CVE-2018-20250 winrarhttps://www.cnblogs.com/threesoil/p/10534280.html
[5] [CVE-2018-20250]WinRAR漏洞浅谈https://www.landui.com/help/show-9239
[6] [漏洞复现]WinRAR目录穿越漏洞(CVE-2018-20250)复现https://www.cnblogs.com/fox-yu/p/10495236.html
[7] Metasploit使用后门程序渗透Windows7http://www.myhack58.com/Article/html/3/8/2015/65031.htm
[8] 成功获取WinRAR 19年历史代码执行漏洞https://www.360zhijia.com/anquan/444960.html
[9] FarManager项目https://github.com/FarGroup/FarManager

免费评分

参与人数 75吾爱币 +63 热心值 +70 收起 理由
梁总 + 1 + 1 我很赞同!
fengba0 + 1 + 1 我很赞同!
小橘 + 1 我很赞同!
Lyleyang + 1 热心回复!
52pojieMiaaa + 1 谢谢@Thanks!
macolma + 1 + 1 热心回复!
yutu925 + 1 + 1 谢谢@Thanks!
xiao小峰 + 1 + 1 我很赞同!
22222 + 1 + 1 我很赞同!
魅夜 + 1 + 1 谢谢@Thanks!
Seago + 1 总结的挺好,自己也复现试试
weigaojing + 1 + 1 热心回复!
kinglightsecond + 1 + 1 用心讨论,共获提升!
河瞬 + 1 看楼主只差一点积分就升级,送你上去吧!!
13697i + 1 我很赞同!
不谙世事的骚年 + 1 + 1 我很赞同!
jFae + 1 + 1 用心讨论,共获提升!
llcliulichang + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
13213099063 + 1 + 1 我很赞同!
吾爱编编 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
鸟桃子 + 1 谢谢@Thanks!
初心wo + 1 + 1 热心回复!
kaixuanmen + 1 + 1 我很赞同!
辛五味la + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
poisonbcat + 1 + 1 谢谢@Thanks!
boyce_wang + 1 + 1 我很赞同!
Suspect_MrX + 1 + 1 我很赞同!
夕魚 + 1 + 1 學習了
willshion + 1 我很赞同!
温柔的一哥 + 1 + 1 用心讨论,共获提升!
干鸡毛 + 1 + 1 热心回复!
zhoumeto + 1 + 1 用心讨论,共获提升!
min_x91 + 1 + 1 我很赞同!
ningxijunzhi + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
smile1110 + 3 + 1 竟然能看懂,开心
0(∩_∩)0 + 1 + 1 热心回复!
laughingsir38 + 1 + 1 热心回复!
By阿清 + 1 + 1 我很赞同!
N0LL + 1 + 1 谢谢@Thanks!
jnez112358 + 1 + 1 谢谢@Thanks!
北方行者 + 1 用心讨论,共获提升!
tk7758991 + 1 + 1 用心讨论,共获提升!
deegar + 1 + 1 热心回复!
cdz + 1 + 1 用心讨论,共获提升!
blywq + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
moewold_1773 + 1 + 1 用心讨论,共获提升!
wad57210088 + 1 + 1 用心讨论,共获提升!
chkds + 1 + 1 用心讨论,共获提升!
寻Nina的红狼 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
dyyy + 1 + 1 热心回复!
孤乐町艳士 + 1 我很赞同!
MFC + 1 + 1 用心讨论,共获提升!
5omggx + 1 + 1 用心讨论,共获提升!
康Sir + 1 + 1 我很赞同!
yppsniper + 1 + 1 我很赞同!
神话灬 + 1 用心讨论,共获提升!
pipos + 1 用心讨论,共获提升!
deliverance + 1 + 1 用心讨论,共获提升!
萨克 + 1 用心讨论,共获提升!
wxdx110 + 1 + 1 已经处理,感谢您对吾爱破解论坛的支持!
jnlylong + 1 + 1 我很赞同!
豪哥大帅比 + 1 谢谢@Thanks!
我是谁,我在哪 + 1 用心讨论,共获提升!
1p0ch + 1 谢谢@Thanks!
ghy_37854 + 1 + 1 谢谢@Thanks!
Zerobits + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
回荡 + 1 我很赞同!
liuliang266 + 1 + 1 我很赞同!
女萝岩 + 1 + 1 我很赞同!
Mc.Zhang + 1 + 1 谢谢@Thanks!
yixi + 1 + 1 谢谢@Thanks!
花橘猫 + 1 + 1 热心回复!
生有涯知无涯 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
gaosld + 1 + 1 用心讨论,共获提升!
吾要开始学习ing + 1 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2020-2-16 00:05
Dustin_Du 发表于 2020-2-15 23:20
算是吧,在学习翻资料后尝试复现了这个漏洞,自己总结了这篇文章

精华鼓励,期待更多分享。
 楼主| Dustin_Du 发表于 2020-3-11 11:41
河瞬 发表于 2020-3-8 15:27
谢谢楼主的技术分享。
看你只差一积分就升二级,热心值给你送你上去吧!!

give you the heart♥
宝塔镇河妖 发表于 2020-2-15 18:31
技术贴,支持一下,跟着教程漏洞复现一下试试
chenjingyes 发表于 2020-2-15 21:22
技术贴  支持一下
allen-love 发表于 2020-2-15 22:13
厉害咯,应该向你学习。。
Hmily 发表于 2020-2-15 23:14
@Dustin_Du 文章是原创吗?
 楼主| Dustin_Du 发表于 2020-2-15 23:20
Hmily 发表于 2020-2-15 23:14
@Dustin_Du 文章是原创吗?

算是吧,在学习翻资料后尝试复现了这个漏洞,自己总结了这篇文章

点评

精华鼓励,期待更多分享。  详情 回复 发表于 2020-2-16 00:05
gengshuai 发表于 2020-2-16 10:20
谢谢 大佬· 跟着试一下
Ontheroad02 发表于 2020-2-16 10:30
技术帖,感谢感谢
nich0las 发表于 2020-2-16 11:04
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 10:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表