本篇文章為大家展示了使用Windows內(nèi)核提權(quán)0Day漏洞的實(shí)例分析，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)主營龍華網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,app軟件開發(fā),龍華h5小程序設(shè)計(jì)搭建,龍華網(wǎng)站營銷推廣歡迎龍華等地區(qū)企業(yè)咨詢

01 背景

2020年12月中旬，安恒威脅情報中心獵影實(shí)驗(yàn)室發(fā)布了《蔓靈花（BITTER）組織近期針對我國政府部門、科研機(jī)構(gòu)發(fā)起攻擊》，文中已經(jīng)給出并分析了該組織攻擊的一些組件。

在后續(xù)的跟進(jìn)分析中我們又發(fā)現(xiàn)了一個全新的組件，經(jīng)過分析，我們發(fā)現(xiàn)該組件利用了一個未知的Windows內(nèi)核提權(quán)漏洞，且利用代碼適配了Windows10 1909操作系統(tǒng)。我們隨即將相關(guān)信息報送給微軟，經(jīng)過微軟的確認(rèn)，我們確信這是一個win32kfull模塊的0Day漏洞，在最新版本的Windows10 20H2全補(bǔ)丁環(huán)境下也能觸發(fā)！

02 事件時間軸

●2020年12月10日，安恒威脅情報中心捕獲到相關(guān)樣本

●2020年12月15日，安恒威脅情報中心在分析過程中發(fā)現(xiàn)一個可疑的Windows內(nèi)核提權(quán)漏洞，并啟動根因調(diào)查

●2020年12月29日，安恒威脅情報中心將漏洞信息報告給MSRC

●2020年12月29日，MSRC確認(rèn)收到漏洞報告

●2020年12月31日，MSRC確認(rèn)該漏洞是一個0Day，并開始調(diào)查，同時要求提供更多細(xì)節(jié)

●2020年12月31日，安恒威脅情報中心向MSRC提供該0Day漏洞的更多細(xì)節(jié)

●2021年1月6日，MSRC就安恒威脅情報中心提供的更多細(xì)節(jié)表示感謝，并表示漏洞已在修復(fù)中

●2021年2月9日，MSRC修復(fù)該漏洞，漏洞編號為CVE-2021-1732

03 漏洞特點(diǎn)

根據(jù)我們的調(diào)查分析，本次捕獲的0Day漏洞具有以下特點(diǎn)：

（1）攻擊目標(biāo)為最新版Windows 10操作系統(tǒng)

(a)在野樣本攻擊的是當(dāng)時最新版Windows10 1909 64位操作系統(tǒng)（在野樣本的編譯時間為2020年5月）；

(b)在野樣本適配了從Windows10 1709到Windows10 1909多個版本，且只會在Windows10 1709及以上版本中運(yùn)行利用代碼；

(c)原始利用代碼經(jīng)過少量修改后可在最新版Windows10 20H2 64位全補(bǔ)丁環(huán)境進(jìn)行提權(quán)。

（2）漏洞質(zhì)量高，利用手法精湛，穩(wěn)定性好，動態(tài)檢測難度大

(a)在野樣本借助漏洞繞過了最新版Windows 10系統(tǒng)的內(nèi)核地址空間布局隨機(jī)化（KASLR）；

(b)本次漏洞不同于以往的Win32k漏洞，漏洞類型不是UAF，整個利用過程不涉及堆噴射和內(nèi)存重用，Type Isolation緩解機(jī)制對其無效。在野樣本在打開Driver Verifier驗(yàn)證器的情況下依然可以正常提權(quán)，無法通過開啟內(nèi)核池追蹤檢測到，動態(tài)檢測難度大；

(c)在野樣本的任意地址寫入采用了漏洞特性結(jié)合SetWindowLong系列函數(shù)的手法，令人眼前一亮；

(d)在野樣本借助GetMenuBarInfo實(shí)現(xiàn)任意地址讀取，這種手法此前未被公開過，這體現(xiàn)出開發(fā)者精湛的利用編寫水平；

(e)在野樣本在構(gòu)造出任意地址讀寫原語后，采用Data Only Attack的方式替換了當(dāng)前進(jìn)程的Token，目前的內(nèi)核緩解機(jī)制無法防御此類攻擊；

(f)在野樣本的漏洞利用成功率幾乎為100%；

(g)在野樣本在完成利用后，將相關(guān)內(nèi)核結(jié)構(gòu)全部還原，整個過程不會對系統(tǒng)造成藍(lán)屏影響，工作穩(wěn)定。

（3）使用謹(jǐn)慎，隱蔽性好

(a)在野樣本在進(jìn)行漏洞利用前對特定殺毒軟件進(jìn)行了檢測；

(b)在野樣本對當(dāng)前操作系統(tǒng)版本進(jìn)行了判斷，低于Windows 10 1709版本的系統(tǒng)不會調(diào)用漏洞利用函數(shù)；

(c)在野樣本從2020年5月完成編譯，到2020年12月被我們發(fā)現(xiàn)，中間至少存活了7個月，這說明使用者在使用該漏洞時相當(dāng)謹(jǐn)慎，間接體現(xiàn)出捕獲此類隱蔽性樣本的難度。

04 漏洞觸發(fā)效果

在最新版Windows10 1909 x64環(huán)境中對在野0Day樣本進(jìn)行測試，可以看到該進(jìn)程在初始啟動時為Medium權(quán)限，

當(dāng)漏洞利用代碼執(zhí)行后，當(dāng)前進(jìn)程變?yōu)镾ystem權(quán)限，這表明當(dāng)前進(jìn)程的Token已經(jīng)被替換為System進(jìn)程的Token，這是內(nèi)核提權(quán)漏洞利用的常見手法。

在最新的Windows10 20H2全補(bǔ)丁環(huán)境下啟動該樣本，則會導(dǎo)致系統(tǒng)藍(lán)屏。這是因?yàn)樵摾么a被編譯時，Windows10 2004和Windows10 20H2還未發(fā)布，攻擊者只將利用代碼適配到當(dāng)時最新的Windows10 1909版本。

05 技術(shù)分析

0x01漏洞成因

該漏洞是win32kfull!xxxCreateWindowEx函數(shù)內(nèi)，一處由用戶態(tài)回調(diào)導(dǎo)致的flag位設(shè)置與對應(yīng)offset設(shè)置不同步導(dǎo)致的漏洞。

win32kfull.sys模塊的xxxCreateWindowEx函數(shù)在創(chuàng)建帶窗口擴(kuò)展內(nèi)存的窗口時，會調(diào)用xxxClientAllocWindowClassExtraBytes用戶態(tài)回調(diào)函數(shù)，返回用戶態(tài)創(chuàng)建窗口擴(kuò)展內(nèi)存。攻擊者可在回調(diào)函數(shù)內(nèi)調(diào)用NtUserConsoleControl并傳入當(dāng)前窗口的句柄，將當(dāng)前窗口內(nèi)核結(jié)構(gòu)中的一個成員(用于指明窗口擴(kuò)展內(nèi)存的區(qū)域)修改為offset，并修改相應(yīng)的flag，指明該成員是一個offset。隨后，攻擊者可在回調(diào)函數(shù)中調(diào)用NtCallbackReturn返回任意值，回調(diào)結(jié)束后，該返回值會覆寫之前的offset，但對應(yīng)的flag并未被清除，隨后未經(jīng)校驗(yàn)的offset直接被內(nèi)核代碼用于堆內(nèi)存尋址，引發(fā)越界訪問。

0x02漏洞觸發(fā)邏輯

我們完全逆向了在野樣本的漏洞利用代碼，在此基礎(chǔ)上構(gòu)造了該漏洞的poc，下圖是poc的主要執(zhí)行邏輯，我們將結(jié)合此圖對漏洞觸發(fā)邏輯進(jìn)行解釋：

在win32kfull!xxxCreateWindowEx 函數(shù)中，

窗口擴(kuò)展內(nèi)存默認(rèn)會使用xxxClientAllocWindowClassExtraBytes 函數(shù)回調(diào)用戶態(tài)函數(shù)，該回調(diào)函數(shù)的返回值是一個指針，返回的是從用戶態(tài)創(chuàng)建的內(nèi)存，這個值會被保存到內(nèi)核結(jié)構(gòu)中。

當(dāng)我們在自定義的xxxClientAllocWindowClassExtraBytes回調(diào)函數(shù)中調(diào)用 win32kfull!xxxConsoleControl 函數(shù)后,窗口擴(kuò)展內(nèi)存的flag會被置位(|=0x800)，并將保存在內(nèi)核地址的用戶態(tài)地址修改成一個offset，以便使用內(nèi)核的堆管理器管理。

在poc中，我們選擇在銷毀窗口時觸發(fā)漏洞， win32kfull!xxxFreeWindow 函數(shù)會判斷上述flag是否被設(shè)置，若被設(shè)置，則代表對應(yīng)的內(nèi)核結(jié)構(gòu)中存儲的是offset，調(diào)用RtlFreeHeap函數(shù)釋放相應(yīng)的內(nèi)存；若未被設(shè)置，則代表對應(yīng)的內(nèi)核結(jié)構(gòu)中存儲的是內(nèi)存地址，調(diào)用xxxClientFreeWindowClassExtraBytes借助用戶態(tài)回調(diào)函數(shù)進(jìn)行釋放。

在xxxClientAllocWindowClassExtraBytes回調(diào)函數(shù)內(nèi)，可以借助NtCallbackReturn控制返回值，回調(diào)結(jié)束后，會用返回值覆寫之前的offset，但并未清除相應(yīng)的flag。在poc中，我們返回了一個用戶態(tài)堆地址，從而將原來的offset覆寫為一個用戶態(tài)堆地址(fake_offset)。這最終導(dǎo)致win32kfull!xxxFreeWindow在用RtlFreeHeap釋放內(nèi)核堆時出現(xiàn)了越界訪問。

RtlFreeHeap所期望的釋放地址是RtlHeapBase+offset

RtlFreeHeap實(shí)際釋放的地址是RtlHeapBase+fake_offset

只要調(diào)用此處的RtlFreeHeap，就會導(dǎo)致越界釋放，從而導(dǎo)致BSOD。

0x03在野利用

在野樣本是一個64位的程序，它首先調(diào)用CreateToolhelp32Snapshot等函數(shù)遍歷所有進(jìn)程，查找“avp.exe”進(jìn)程（“avp.exe”是卡巴斯反病毒軟件進(jìn)程）。

在野樣本在檢測“avp.exe”進(jìn)程后，只會對一些自定義結(jié)構(gòu)進(jìn)行賦值，并不會退出進(jìn)程，后續(xù)的提權(quán)函數(shù)仍會被調(diào)用。我們在裝有卡巴斯基反病毒軟件的環(huán)境中進(jìn)行了實(shí)驗(yàn)，在野樣本可以正常提權(quán)，如下圖所示。

隨后，在野樣本調(diào)用IsWow64Process以判斷當(dāng)前所運(yùn)行的環(huán)境，并依據(jù)結(jié)果對一些偏移進(jìn)行修正。這里代碼編寫者似乎在邏輯判斷時存在一些問題，按照下面的源碼示意，下圖中的g_x64應(yīng)理解為g_x86，但后續(xù)的調(diào)用表明此變量代表x64環(huán)境。

代碼編寫者在初始化時強(qiáng)制給g_x64賦值為TRUE，所以此處對IsWow64Process的調(diào)用可以忽略，不過這似乎暗示開發(fā)者還寫了另一個32位版本的提權(quán)組件。

在修正偏移后，在野樣本動態(tài)獲取了RtlGetNtVersionNumbers，NtUserConsoleControl和NtCallbackReturn三個函數(shù)。隨后調(diào)用RtlGetNtVersionNumbers函數(shù)獲取當(dāng)前系統(tǒng)版本號，檢查當(dāng)前系統(tǒng)版本號是否大于等于16353（Windows10 1709），只有大于該版本號時，漏洞利用代碼才會被調(diào)用，接著又判斷當(dāng)前系統(tǒng)版本號是否大于等于18204（Windows10 1903），如果大于，則修正一些內(nèi)核結(jié)構(gòu)的偏移，便于后面的利用。

校驗(yàn)通過后，在野樣本開始調(diào)用利用代碼，它首先動態(tài)搜索得到HmValidateHandle函數(shù)的地址，并hook USER32!_xxxClientAllocWindowClassExtraBytes回調(diào)函數(shù)。

利用代碼隨后注冊了兩種窗口類，其中一種用于創(chuàng)建漏洞窗口，類名為“magicClass”，另一種窗口類名為“normalClass”，用于創(chuàng)建一般窗口，用以輔助后續(xù)的任意地址寫入。

接著，利用代碼借助normalClass創(chuàng)建10個窗口，調(diào)用HmValidateHandle函數(shù)泄露這些窗口的用戶態(tài)tagWND結(jié)構(gòu)體地址，并泄露結(jié)構(gòu)體內(nèi)的offset偏移，隨后銷毀第3-10個窗口，只保留窗口0和窗口1。

如果當(dāng)前環(huán)境為64位，則調(diào)用NtUserConsoleControl將窗口0對應(yīng)的flag從pointer改為offset，這樣，窗口0的內(nèi)核tagWND結(jié)構(gòu)尋址方式變?yōu)閛ffset，而窗口1的尋址方式仍為pointer。

隨后，利用代碼借助magicClass創(chuàng)建一個帶特定長度窗口擴(kuò)展內(nèi)存的窗口2，在窗口2創(chuàng)建過程中觸發(fā)xxxClientAllocWindowClassExtraBytes回調(diào),進(jìn)入自定義回調(diào)函數(shù)，在自定義函數(shù)中，首先判斷當(dāng)前窗口擴(kuò)展內(nèi)存長度是否為特定長度，隨后判斷當(dāng)前環(huán)境是否為x64，校驗(yàn)通過后，調(diào)用NtUserConsoleControl將窗口2的的內(nèi)核tagWND結(jié)構(gòu)尋址方式變?yōu)閛ffset；隨后調(diào)用NtCallbackReturn將窗口2的窗口擴(kuò)展內(nèi)存對應(yīng)的offset改為窗口0的tagWND對應(yīng)的offset，這導(dǎo)致后續(xù)對窗口2的窗口擴(kuò)展內(nèi)存的讀寫都變?yōu)榱藢Υ翱?的tagWND結(jié)構(gòu)的讀寫，到這里已經(jīng)成功使用漏洞。

回調(diào)結(jié)束后，利用代碼已經(jīng)可以借助SetWindowLongW對窗口0的內(nèi)核tagWND成員進(jìn)行修改。

利用代碼首先調(diào)用SetWindowLongW將窗口0的cbWndExtra設(shè)置為0xFFFFFFF，從而使窗口0具備越界寫入能力。隨后借助窗口0令窗口1的dwStyle|=WS_CHILD，隨后用fake_spmenu替換窗口1原有的spmenu，在fake_spmenu的基礎(chǔ)上實(shí)現(xiàn)任意地址讀寫原語。

利用代碼的任意地址讀原語借助fake_spmenu，

配合GetMenuBarInfo讀取tagMenuBarInfo.rcBar.left和tagMenuBarInfo.rcBar.top兩個成員進(jìn)行實(shí)現(xiàn)，這種方式此前未被公開使用過，但和2016年ZeroNight的《LPE vulnerabilities exploitation on Windows 10 Anniversary Update》中提到的思路類似。

利用代碼的任意地址寫原語借助窗口0和窗口1，配合SetWindowLongPtrA進(jìn)行封裝，具體實(shí)現(xiàn)如下。

構(gòu)造出任意地址讀寫原語后，利用代碼從窗口1的原始spmenu結(jié)構(gòu)中泄露出一個內(nèi)核地址，借助該地址逐步定位到當(dāng)前進(jìn)程的EPROCESS，隨后遍歷進(jìn)程鏈，找到System進(jìn)程的Token指針和當(dāng)前進(jìn)程EPROCESS結(jié)構(gòu)內(nèi)存儲Token的地址，并將當(dāng)前進(jìn)程的Token改寫System進(jìn)程的Token，實(shí)現(xiàn)權(quán)限提升。

完成提權(quán)后，利用代碼借助任意地址寫入原語將之前被修改的窗口0，窗口1，窗口2成員進(jìn)行還原，例如原始的spmenu和導(dǎo)致漏洞的flag，以確保利用完成后不會產(chǎn)生藍(lán)屏異常。整個漏洞利用過程非常穩(wěn)定。

0x04 結(jié)論

該漏洞是win32k子系統(tǒng)內(nèi)一個通過CallBack回調(diào)機(jī)制引發(fā)的漏洞，該漏洞可以被用作IE、Adobe Reader等沙箱環(huán)境的逃逸。該漏洞質(zhì)量較高，在野樣本利用手法高超，威脅組織可能招募了具有一定實(shí)力的成員，也不排除從專業(yè)的漏洞中間商處購買，該在野樣本的使用體現(xiàn)出背后APT組織較強(qiáng)的0day漏洞儲備能力。

06 總結(jié)思考

0Day在網(wǎng)絡(luò)空間隱蔽戰(zhàn)場上具有舉足輕重的作用，0Day通常作為攻擊組織的戰(zhàn)略儲備，具有特殊使命和戰(zhàn)略意義。為了充分合理發(fā)揮其價值，一般只會在針對極特殊的目標(biāo)條件下才會使用。

隨著軟硬件不斷的成熟和防御體系的提升，一些重點(diǎn)軟硬件、系統(tǒng)的0Day挖掘成本和利用成本已經(jīng)變得非常高，使用條件變得更為苛刻，再譬如多年來各廠商對APT攻擊檢測的投入和能力加強(qiáng)，使得APT組織對0Day的使用變得更加謹(jǐn)慎，稍有不慎就會使得0Day的的價值生命周期縮水。

0Day仍是“核武器”，發(fā)現(xiàn)并不一定等于檢出，而是有可能在其它蛛絲馬跡中窺見的端倪。最直接的例子就是永恒之藍(lán)所利用的遠(yuǎn)程代碼漏洞，在被曝光前已經(jīng)潛伏了許久。

對0Day或其它隱蔽攻擊的檢測能力提升仍是APT對抗過程中需要持續(xù)精進(jìn)、不斷提高、必不可少的重要環(huán)節(jié)。

0Day的產(chǎn)生不會停止，使用漏洞進(jìn)行的攻擊不會停止。在去年（2020年）就曝光了多起涉及在野0Day/1Day漏洞的攻擊行動，僅安恒威脅情報中心追蹤到的就有3起，除此之外，全球至少還披露了十余起在野漏洞利用事件。并從披露漏洞的趨勢來看，瀏覽器、沙箱逃逸、提權(quán)漏洞將會進(jìn)一步增加。

除了端上的攻擊利用之外，邊界系統(tǒng)、臨界設(shè)備、集控系統(tǒng)也是需要關(guān)注的點(diǎn)。去年就有多起此類安全事件的發(fā)生。其中更需要注意的是起到安全防護(hù)的邊界系統(tǒng)，更需要關(guān)注、加強(qiáng)和保障自身質(zhì)量。

未被發(fā)現(xiàn)并不表示不存在，可能更多的是處于潛伏狀態(tài)。在高級威脅、隱蔽攻擊、0Day攻擊的發(fā)現(xiàn)、檢測與防御上，需要在博弈過程中不斷迭代強(qiáng)化。需要積極思考在各環(huán)節(jié)、各區(qū)塊、各點(diǎn)位上對防御體系、防御能力、防御方位上的把握。網(wǎng)絡(luò)安全任重而道遠(yuǎn)，共勉之。

07 自查方案

這次Bitter APT組織攻擊的樣本默認(rèn)會存在如下目錄：

c:\intel\logs

如自查的時候，發(fā)現(xiàn)存在相關(guān)目錄或文件，用戶可以提交樣本到安恒威脅情報中心平臺進(jìn)行檢測，平臺地址：

https://ti.dbappsecurity.com.cn/

也可聯(lián)系我們處理

聯(lián)系方式：400 6059 110

如果客戶有購買安恒APT攻擊預(yù)警平臺，可以直接上傳進(jìn)行檢測。

攻擊者使用0day進(jìn)行攻擊是為了提權(quán)，一般是為了獲取更多、更高的權(quán)限，比如為了內(nèi)網(wǎng)橫向滲透做準(zhǔn)備。如果發(fā)現(xiàn)同時還存在某國外VPN程序，不排除該單位的內(nèi)網(wǎng)存在被橫向滲透的風(fēng)險。

08 防御建議

升級安恒APT攻擊預(yù)警平臺以及明御主機(jī)安全及管理系統(tǒng)EDR到最新版本可進(jìn)行檢測。

請確認(rèn)是最新版本:

1、APT攻擊預(yù)警平臺版本大于等于V2.0.66.23509.210119

2、EDR版本大于等于v2.0.15.34

安恒APT攻擊預(yù)警平臺能夠發(fā)現(xiàn)已知或未知威脅，平臺能實(shí)時監(jiān)控、捕獲和分析惡意文件或程序的威脅性，并能夠?qū)︵]件投遞、漏洞利用、安裝植入、回連控制等各個階段關(guān)聯(lián)的木馬等惡意樣本進(jìn)行強(qiáng)有力的監(jiān)測。同時，平臺根據(jù)雙向流量分析、智能的機(jī)器學(xué)習(xí)、高效的沙箱動態(tài)分析、豐富的特征庫、全面的檢測策略、海量的威脅情報等，對網(wǎng)絡(luò)流量進(jìn)行深度分析。檢測能力完整覆蓋整個APT攻擊鏈，有效發(fā)現(xiàn)APT攻擊、未知威脅及用戶關(guān)心的網(wǎng)絡(luò)安全事件。

安恒明御主機(jī)安全及管理系統(tǒng)是一款集成了豐富的系統(tǒng)加固與防護(hù)、網(wǎng)絡(luò)加固與防護(hù)等功能的主機(jī)安全產(chǎn)品。業(yè)界獨(dú)有的高級威脅模塊，專門應(yīng)對攻防對抗場景； 明御主機(jī)安全及管理系統(tǒng)通過自主研發(fā)的專利級文件誘餌引擎，有著業(yè)界領(lǐng)先的勒索專防專殺能力；通過內(nèi)核級東西向流量隔離技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)隔離與防護(hù)；擁有補(bǔ)丁修復(fù)、外設(shè)管控、文件審計(jì)、違規(guī)外聯(lián)檢測與阻斷等主機(jī)安全能力。目前產(chǎn)品廣泛應(yīng)用在服務(wù)器、桌面PC、虛擬機(jī)、工控系統(tǒng)、容器安全、攻防對抗等各個場景。

09 檢測策略

YARA

rule apt_bitter_win32k_0day {

meta:

author = "dbappsecurity_lieying_lab"

data = "2021-01-01"

strings:

$s1 ="NtUserConsoleControl" ascii wide

$s2 = "NtCallbackReturn" ascii wide

$s3 ="CreateWindowEx"ascii wide

$s4 ="SetWindowLong"ascii wide 

$a1 ={48 C1 E8 02 48 C1 E9 02 C7 04 8A }

$a2 ={66 0F 1F 44 00 00 80 3C 01 E8 74 22 FF C2 48 FF C1}

$a3 = {48 63 05 CC 69 05 00 8B 0D C2 69 05 00 48 C1 E0 20 48 03 C1}

condition:

uint16(0) == 0x5a4d and all of ($s*) and 1 of ($a*)

}

上述內(nèi)容就是使用Windows內(nèi)核提權(quán)0Day漏洞的實(shí)例分析，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁名稱：使用Windows內(nèi)核提權(quán)0Day漏洞的實(shí)例分析
轉(zhuǎn)載來于：http://aaarwkj.com/article20/jesijo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、定制網(wǎng)站、網(wǎng)站導(dǎo)航、微信小程序、App開發(fā)、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)