精通Metasploit渗透测试 pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

[英] 贾斯瓦尔（Nipun Jaswal） 著，李华峰 译

图书标签:

• Metasploit
• 渗透测试
• 网络安全
• 漏洞利用
• 安全工具
• Kali Linux
• 攻击防御
• 信息安全
• 实战
• 红队

出版社： 人民邮电出版社

ISBN：9787115423528

版次：1

商品编码：11951028

包装：平装

丛书名： 图灵程序设计丛书

开本：16开

出版时间：2016-06-01

用纸：胶版纸

页数：275

正文语种：中文

编辑推荐

Metasploit框架历史悠久，是执行各种服务渗透测试时使用频率的工具。本书是使用Metasploit进行渗透测试的实用指南，帮助读者了解如何使用Metasploit进行高效的渗透测试、实现Web应用程序的自动化攻击。作者还根据自己在网络安全领域的多年经验，提供了大量实践方法，这些都将有助于读者全面掌握Metasploit，提升安全专业技能。

通过本书，你将获益良多：
系统认识渗透测试的各个环节，学会搭建测试环境；
掌握Metasploit的现有模块并编写自己的模块；
了解渗透攻击模块的开发和移植，将Perl和Python语言编写的复杂模块移植到Metasploit框架中；
利用Nmap、Nessus和OpenVAS等流行的漏洞扫描工具进行虚拟化测试；
使用Metasploit完成应用程序的fuzz测试和渗透模块的编写；
实现Web应用程序的自动化攻击；
完成对数据库、VOIP、SCADA系统等的服务测试；
改进传统的基于浏览器的渗透模块；
利用Metasploit自动化模式实现渗透测试的加速；
利用社会工程学工具集完成对客户的渗透。

内容简介

本书是Metasploit渗透测试的指南，涵盖了使用Metasploit实现渗透测试的诸多方面，主要包括：渗透攻击，编写自定义渗透攻击模块，移植渗透攻击模块，测试服务，以及进行复杂的客户端测试。还将介绍Assembly、Ruby及Cortana等语言知识，Metasploit框架组件与模块，以及如何使用SET和Fast Track等工具。

作者简介

Nipun Jaswal
独立的信息安全专家。长期关注渗透测试、漏洞挖掘、无线渗透测试、取证以及Web应用渗透测试。拥有C|EH和OSWP认证。因曾为BlackBerry、Facebook、PayPal、Adobe、Apple、Microsoft、AT T、Nokia、Red Hat Linux等进行漏洞发掘而为人熟知，是2013年第二季度AT T评出的10大安全人员之一。 个人网站：nipunjaswal.com。

李华峰
毕业于东北师范大学，目前在河北省一所高校担任教师，是一名狂热的黑客技术追求者。现在主要从事网络安全与渗透测试方面的教育工作，研究的重点领域为网络扫描技术、漏洞检测和入侵检测等。邮箱：lihuafeng1999@163.com。

目录

第1章 　走近Metasploit渗透测试框架　　1

1.1 　环境的建立　　3

1.1.1 　前期交互阶段　　3

1.1.2 　信息收集/侦查阶段　　4

1.1.3 　威胁建模　　6

1.1.4 　漏洞分析　　7

1.1.5 　渗透攻击和后渗透攻击　　8

1.1.6 　报告阶段　　8

1.2 　工作环境的准备　　8

1.2.1 　渗透测试实验环境的建立　　8

1.2.2 　Metasploit基础　　12

1.2.3 　在不同环境下配置Metasploit　　12

1.2.4 　错误处理　　16

1.3 　使用Metasploit进行渗透测试　　17

1.3.1 　回顾Metasploit的基础知识　　17

1.3.2 　对Windows XP操作系统的一次渗透测试　　18

1.3.3 　对Windows Server 2003操作系统的一次渗透测试　　26

1.3.4 　对Windows 7操作系统的一次渗透测试　　27

1.3.5 　使用数据库存储和取回结果　　30

1.4 　Metasploit工具的优势　　32

1.4.1 　源代码的开放性　　33

1.4.2 　对大型网络测试的支持以及便利的命名规则　　33

1.4.3 　灵活的攻击载荷模块生成和切换机制　　33

1.4.4 　干净的通道建立方式　　33

1.4.5 　图形化管理界面　　34

1.5 　小结　　34

第2章 　打造定制化的Metasploit渗透测试框架　　35

2.1 　Ruby——Metasploit的核心　　36

2.1.1 　创建你的第一个Ruby程序　　36

2.1.2 　Ruby中的变量和数据类型　　38

2.1.3 　Ruby中的方法　　40

2.1.4 　决策运算符　　41

2.1.5 　Ruby中的循环　　42

2.1.6 　正则表达式　　42

2.1.7 　Ruby基础知识的小结　　43

2.2 　开发自定义模块　　43

2.2.1 　模块编写的概要　　44

2.2.2 　了解现有模块　　47

2.2.3 　编写一个自定义FTP扫描程序模块　　50

2.2.4 　编写一个自定义HTTP服务器扫描程序　　52

2.2.5 　编写一个后渗透攻击模块　　54

2.3 　突破meterpreter脚本　　56

2.3.1 　meterpreter脚本的要点　　56

2.3.2 　以被控制计算机为跳板　　56

2.3.3 　设置永久访问权限　　60

2.3.4 　API调用和mixins类　　61

2.3.5 　制作自定义meterpreter脚本　　61

2.4 　与RailGun协同工作　　63

2.4.1 　交互式Ruby命令行基础　　63

2.4.2 　了解RailGun及其脚本编写　　63

2.4.3 　控制Windows中的API调用　　65

2.4.4 　构建复杂的RailGun脚本　　65

2.5 　小结　　68

第3章 　渗透攻击模块的开发过程　　69

3.1 　汇编语言基础入门　　69

3.1.1 　基础部分　　69

3.1.2 　计算机架构　　70

3.1.3 　寄存器　　71

3.1.4 　EIP的重要作用　　72

3.1.5 　ESP的重要作用　　73

3.1.6 　NOP和JMP之间的关联　　74

3.1.7 　变量和声明　　74

3.1.8 　汇编程序的编程示例　　75

3.2 　fuzz测试的乐趣　　76

3.2.1 　使一个程序崩溃　　76

3.2.2 　随机化输入数据　　80

3.2.3 　制造无用数据　　82

3.2.4 　Immunity Debugger简介　　82

3.2.5 　GDB简介　　85

3.3 　编写渗透模块的基础　　87

3.3.1 　计算缓冲区的大小　　88

3.3.2 　计算跳转地址　　89

3.3.3 　检查EIP中的内容　　90

3.3.4 　填充应用程序　　91

3.3.5 　检查ESP　　91

3.3.6 　填充空间　　92

3.4 　渗透模块的完成　　92

3.4.1 　确定坏字符　　92

3.4.2 　确定空间限制　　93

3.4.3 　在Metasploit下完成　　93

3.4.4 　Metasploit下的自动化功能　　95

3.5 　结构化异常处理的基本原理　　96

3.5.1 　控制SEH　　97

3.5.2 　绕过SEH　　98

3.5.3 　基于SEH的渗透模块　　100

3.6 　小结　　102

第4章 　渗透攻击模块的移植　　103

4.1 　移植一个用Perl语言编写的模块　　103

4.1.1 　分解现有渗透模块　　105

4.1.2 　为渗透模块创建一个骨骼框架　　106

4.1.3 　使用Immunity Debugger创建一个骨骼框架文件　　107

4.1.4 　值的填充　　109

4.1.5 　将ShellCode部分排除在外　　110

4.1.6 　渗透实验　　110

4.2 　移植一个用Python语言编写的渗透模块　　111

4.2.1 　分解一个已有的模块　　111

4.2.2 　收集必要信息　　112

4.2.3 　创建骨骼框架　　112

4.2.4 　填充值　　113

4.2.5 　使用渗透模块进行试验　　114

4.3 　移植一个基于Web的渗透模块　　115

4.3.1 　分解一个现有渗透模块　　115

4.3.2 　收集必要的信息　　116

4.3.3 　掌握重要的网络函数　　116

4.3.4 　GET/POST方法的使用要点　　118

4.3.5 　制造一个辅助的渗透模块　　118

4.3.6 　辅助渗透模块的实验　　122

4.4 　小结　　123

第5章 　服务测试技术的幕后揭秘　　124

5.1 　SCADA系统的基本原理　　124

5.1.1 　ICS的基本原理以及组成部分　　124

5.1.2 　ICS-SCADA安全的重要性　　125

5.2 　SCADA　　125

5.2.1 　测试SCADA的基本原理　　125

5.2.2 　基于SCADA的渗透模块　　127

5.3 　使SCADA变得安全　　128

5.3.1 　实现SCADA的安全　　129

5.3.2 　对网络进行约束　　129

5.4 　数据库渗透　　129

5.4.1 　SQL Server　　129

5.4.2 　使用Nmap对SQL Server进行踩点　　130

5.4.3 　使用Metasploit的模块进行扫描　　131

5.4.4 　暴力破解密码　　132

5.4.5 　查找/捕获服务器的口令　　133

5.4.6 　浏览SQL Server　　134

5.4.7 　后渗透/执行系统命令　　136

5.5 　VOIP渗透测试　　137

5.5.1 　VOIP的基本原理　　137

5.5.2 　对VOIP服务踩点　　140

5.5.3 　扫描VOIP服务　　141

5.5.4 　欺骗性的VOIP电话　　142

5.5.5 　对VOIP进行渗透　　144

5.6 　在苹果设备上的后渗透模块　　145

5.7 　小结　　148

第6章 　虚拟化测试的原因及阶段　　149

6.1 　完成一次白盒渗透测试　　149

6.1.1 　与员工和最终用户进行交流　　150

6.1.2 　收集信息　　151

6.1.3 　对威胁区域进行建模　　158

6.1.4 　针对系统易发高危漏洞　　159

6.1.5 　控制权限的获取　　160

6.1.6 　掩盖入侵痕迹　　161

6.1.7 　MagicTree的介绍　　164

6.1.8 　其他报告服务　　166

6.2 　生成人工报告　　167

6.3 　完成一次黑盒渗透测试　　169

6.3.1 　踩点工作　　169

6.3.2 　使用Metasploit完成一次黑盒测试　　173

6.4 　小结　　182

第7章 　复杂的客户端攻击　　183

7.1 　浏览器渗透攻击　　183

7.2 　基于各种文件格式的渗透攻击　　187

7.2.1 　基于PDF文件格式的渗透攻击　　187

7.2.2 　基于Word文件格式的渗透攻击　　189

7.2.3 　基于多媒体的渗透攻击　　191

7.3 　对XAMPP服务器进行渗透攻击　　193

7.3.1 　PHP脚本编写的meterpreter　　194

7.3.2 　升级为系统级权限　　194

7.4 　对网站客户端的渗透攻击　　195

7.4.1 　恶意网页脚本的注入　　195

7.4.2 　攻击网站的用户　　195

7.5 　绕过杀毒软件的检测　　197

7.5.1 　msfencode　　197

7.5.2 　msfvenom　　199

7.5.3 　使用编码器的注意事项　　201

7.6 　与DNS欺骗的结合使用　　202

7.7 　使用恶意包攻击Linux　　208

7.8 　小结　　210

第8章 　社会工程工具包　　211

8.1 　社会工程工具包的基本原理　　211

8.2 　使用SET进行攻击　　213

8.2.1 　创建一个攻击载荷和监听器　　213

8.2.2 　传染性媒体生成器　　216

8.2.3 　网站攻击向量　　219

8.2.4 　SET与第三方攻击　　227

8.3 　更多的功能和更全面的说明　　231

8.3.1 　SET的Web接口　　232

8.3.2 　自动化实施SET攻击　　233

8.4 　小结　　234

第9章 　提高渗透测试的速度　　235

9.1 　自动化工具的介绍　　235

9.2 　Fast Track中的MS SQL攻击向量　　236

9.2.1 　关于Fast Track的简要介绍　　236

9.2.2 　被淘汰的Fast Track　　240

9.2.3 　在SET中复兴的Fast Track　　241

9.3 　在Metasploit中的自动化渗透　　241

9.3.1 　再次启用db_autopwn　　242

9.3.2 　对目标进行扫描　　243

9.3.3 　攻击数据库　　244

9.4 　使用DNS欺骗攻击来实现假升级　　246

9.4.1 　Websploit的介绍　　246

9.4.2 　修复Websploit　　248

9.4.3 　使用Websploit在局域网中进行攻击　　248

9.5 　小结　　251

第10章 　利用Armitage实现Metasploit的可视化管理　　252

10.1 　Armitage的基本原理　　252

10.1.1 　入门知识　　253

10.1.2 　用户界面一览　　254

10.1.3 　工作区的管理　　255

10.2 　网络扫描以及主机管理　　256

10.2.1 　漏洞的建模　　258

10.2.2 　查找匹配模块　　258

10.3 　使用Armitage进行渗透　　258

10.4 　使用Armitage进行后渗透攻击　　260

10.5 　使用Armitage进行客户端攻击　　261

10.6 　Armitage脚本编写　　265

10.6.1 　Cortana的基础知识　　265

10.6.2 　控制Metasploit　　268

10.6.3 　使用Cortana实现后渗透攻击　　269

10.6.4 　使用Cortana创建自定义菜单　　270

10.6.5 　界面的使用　　273

10.7 　小结　　274

10.8 　延伸阅读　　274

前言/序言

安全攻防的艺术：深入解析现代网络安全挑战与应对之道 在数字时代浪潮席卷全球的今天，网络安全已不再是少数技术专家的专属领域，而是关乎个人隐私、企业运营乃至国家安全的重要基石。然而，伴随着技术的飞速发展，网络攻击手段也愈发狡猾和多样化，传统的防御模式已显得力不从心。面对日益严峻的安全态势，理解攻击者的思维模式、掌握先进的防御技术，并具备实战演练的能力，成为每个网络安全从业者乃至IT管理者必备的核心素养。 本书将带领读者踏上一段深度探索网络安全攻防艺术的旅程。我们并非局限于某一款特定的工具，而是着眼于构建一个 holistic（整体的）的安全认知框架。我们将从网络攻击的宏观图景入手，深入剖析各类攻击技术背后的原理、流程与潜在危害，帮助读者建立起对安全威胁的全面认识。随后，我们将跳出“工具箱”的局限，从防御者的视角出发，系统性地阐述一套完整的安全体系如何构建与运作，以及如何将理论知识转化为实操技能。 第一部分：网络攻击的演进与剖析 我们将从历史的维度审视网络攻击的发展脉络，理解从早期简单的病毒传播到如今高度组织化、技术化的APT（Advanced Persistent Threat）攻击的演变过程。这一部分将涵盖： 漏洞的发现与利用： 深入探讨软件开发生命周期中的常见安全缺陷，如缓冲区溢出、SQL注入、跨站脚本（XSS）等。我们将分析这些漏洞的成因，学习如何识别它们，并理解攻击者如何利用这些漏洞来绕过安全控制。这不是对具体 exploit（漏洞利用代码）的罗列，而是对 exploit 背后的逻辑和技术思想的提炼。 社会工程学的力量： 攻击者往往利用人性的弱点来达成目的。我们将揭示各种社会工程学攻击的手段，如钓鱼邮件、冒充、欺骗等，并分析这些攻击为何如此有效，以及如何识别和防范。 恶意软件的深度分析： 从病毒、蠕虫到木马、勒索软件，我们将分析不同类型恶意软件的工作原理、传播方式及其对系统的潜在破坏。我们将关注其隐藏技术、持久化机制和通信方式，理解它们如何“隐形”地侵蚀系统。 网络渗透测试的流程与方法： 并非以某个工具为中心，而是系统性地介绍一个典型的渗透测试周期，包括信息收集、漏洞扫描、权限提升、横向移动、数据窃取和痕迹清理等关键阶段。我们将探讨在每个阶段常用的技术思想和策略，而非仅仅是命令的堆砌。 高级持续性威胁（APT）的特征与应对： 深入分析APT攻击的长期性、隐蔽性和目标明确性，理解其背后的组织运作模式和攻击目标。我们将讨论针对APT攻击的检测和响应策略，强调多层次防御和情报驱动的安全理念。 第二部分：构建坚不可摧的安全防御体系 在充分理解攻击者的手段之后，我们将视角转向如何构建和维护一个强大的防御体系。这一部分将聚焦于策略、技术与管理的结合： 纵深防御策略的实施： 讲解如何构建多层次的安全防护，包括网络边界防护（防火墙、入侵检测/防御系统）、端点安全（防病毒、终端检测与响应EDR）、应用安全（代码审计、Web应用防火墙WAF）以及数据安全（加密、访问控制）。 安全基线与加固技术： 探讨操作系统、网络设备和应用程序的安全配置最佳实践，以及如何通过系统加固来减少攻击面。我们将关注关键服务的安全设置、不必要的服务禁用以及账户权限管理。 访问控制与身份管理： 深入研究最小权限原则、基于角色的访问控制（RBAC）以及多因素认证（MFA）等关键概念。理解如何有效管理用户权限，防止权限滥用。 安全监控与事件响应： 讲解如何利用安全信息和事件管理（SIEM）系统进行日志分析和威胁检测。我们将详细阐述事件响应的流程，包括事件发现、分析、遏制、根除和恢复等关键环节，以及如何从中吸取教训，改进安全策略。 漏洞管理与风险评估： 介绍如何建立一套持续的漏洞扫描、评估和修复流程。理解风险评估的意义，如何量化风险并优先处理高风险漏洞。 安全意识培训的重要性： 强调人员是安全链条中最薄弱的一环。我们将讨论如何通过有效的安全意识培训，提升员工对网络威胁的识别能力和防范意识。 第三部分：实战演练与攻防对抗的精髓 理论与实践相结合是提升安全技能的关键。这一部分将引导读者将所学知识应用于实际场景，并通过模拟攻防对抗来检验和提升能力： 信息收集与侦察的艺术： 探索多种信息收集技术，包括主动扫描、被动侦察、社会工程学情报收集等。理解如何通过整合来自不同渠道的信息，构建目标画像，为后续的渗透提供决策支持。 漏洞扫描与利用的策略： 学习如何有效地使用各种扫描工具来发现潜在漏洞，并理解如何根据扫描结果选择合适的利用方法。我们将关注利用的“艺术”，如何精准打击，避免不必要的破坏。 权限提升与横向移动的技术： 深入研究如何在已获取初步访问权限后，进一步提升权限，并能够在目标网络内部进行横向移动，获取更高价值的信息或控制权。我们将探讨各种常用的技术手段和策略。 数据窃取与痕迹清理： 分析攻击者如何窃取敏感数据，以及如何在完成攻击后清理活动痕迹，逃避检测。我们将学习相应的防御技术，以阻止数据泄露和隐藏攻击行为。 红蓝对抗的思维模式： 模拟真实的攻防对抗场景，让读者理解攻击方和防御方的不同思维方式、目标和策略。通过参与或分析红蓝对抗，能够更深刻地理解安全攻防的动态平衡。 安全工具的正确使用与局限性： 我们将探讨多种安全工具的功能和适用场景，但更强调的是工具背后的原理和使用者的策略。理解每种工具的优缺点，避免过度依赖，形成独立的思考能力。 本书的价值与定位 本书旨在为读者提供一个全面、深入且实用的网络安全知识体系。我们避免了对单一工具的片面介绍，而是从攻击与防御的宏观视角出发，深入剖析安全领域的各个层面。无论您是希望系统学习网络安全知识的初学者，还是寻求提升实战技能的安全从业者，亦或是需要了解安全风险的管理人员，本书都将为您提供宝贵的见解和方法。 我们相信，掌握网络安全攻防的艺术，并非仅仅是学习一系列技术操作，更是一种思维方式的转变。通过理解攻击者的逻辑，才能更好地构建防御体系；通过模拟实战，才能不断检验和提升自身的安全能力。本书将引导您踏上这条充满挑战但极具价值的安全探索之路，助力您在瞬息万变的数字世界中，构筑更坚固的安全防线。

评分☆☆☆☆☆

对于我这样一个已经接触过一些基础安全工具的用户来说，这本书最吸引我的地方在于其对Metasploit高级特性的深入剖析。我曾经尝试过使用Metasploit进行一些简单的渗透测试，但很多时候都感觉力不从心，无法充分发挥其潜能。我迫切希望了解如何利用Metasploit进行更复杂的攻击，例如权限提升、横向移动以及持久化控制等。这本书的目录中，关于“高级模块运用”、“Metasploit的二次开发”以及“与其他安全工具的集成”这些章节，无疑是为我量身定做的。我期待书中能够提供一些巧妙的技巧和鲜为人知的用法，帮助我突破现有的瓶颈。我对书中关于Metasploit脚本编写和框架扩展的内容尤其感兴趣，这能够让我根据实际需求定制更强大的功能，从而在安全攻防对抗中获得更大的优势。

评分☆☆☆☆☆

我一直认为，学习安全技术最有效的方式是通过大量的实践。这本书给我最深刻的印象是它似乎提供了大量的实战案例和练习。我曾经读过一些只注重理论的书籍，虽然概念清晰，但缺乏实际操作的指导，最终收效甚微。这本书从一开始就强调了“实战”的重要性，这让我对它充满了期待。我希望书中能够提供清晰的步骤，指导我如何搭建测试环境，如何运用Metasploit来模拟真实的攻击场景，并分析攻击过程中的每一个细节。我也希望书中能够包含一些常见的漏洞复现和利用的案例，让我能够亲身体验攻击是如何发生的，以及如何利用Metasploit来发现和利用这些漏洞。对于书中提到的“信息收集”和“漏洞扫描”部分，我希望能够学到更高效、更隐蔽的方法。

评分☆☆☆☆☆

这本书对我这样一名在网络安全领域摸爬滚打多年的从业者来说，也同样具有极大的价值。虽然我已经熟悉Metasploit的基本操作，但对于其内部机制、高级技巧以及最新发展动态，我仍然渴望获得更深入的理解。我尤其关注书中关于Metasploit的扩展性、可定制性以及与其他安全工具（如Nmap、Wireshark等）的协同工作方面的讲解。我希望这本书能够提供一些我之前未曾接触过的、更具前瞻性的安全技术和攻防思路，帮助我不断提升自己的技术水平，应对日益复杂的网络安全挑战。书中关于Metasploit框架的原理性分析，以及如何根据实际需求编写自定义模块和脚本的内容，无疑是能够帮助我达到更高层次的关键。我期待这本书能够成为我提升专业技能、开拓技术视野的有力工具。

评分☆☆☆☆☆

这本书的封面设计非常有吸引力，深邃的蓝色背景搭配银色字体，营造出一种专业、神秘的技术氛围。我之前在技术论坛上看到过一些关于Metasploit的讨论，但总是感觉碎片化，不够系统。看到这本书的目录，我眼前一亮，它从Metasploit的基础概念讲起，逐步深入到高级运用，涵盖了漏洞扫描、攻击载荷生成、后渗透技术等等，甚至还提到了框架的二次开发。这对我来说简直是及时雨。我一直对网络安全领域充满好奇，特别是渗透测试，但缺乏一个可靠的入门途径。这本书的结构安排显然是经过深思熟虑的，能够引导读者从零开始，逐步建立起对Metasploit的全面认识。我尤其期待它在实战案例部分的讲解，理论知识如果能结合具体的攻击场景和防御措施，将大大提升学习的效率和深度。我希望这本书能够帮助我真正掌握Metasploit的强大功能，而不是停留在皮毛的了解。

评分☆☆☆☆☆

拿到这本书后，我最直观的感受是它的内容严谨且信息量巨大。作为一名对网络安全充满热情但经验尚浅的初学者，我一直在寻找一本能够真正教会我“怎么做”的书，而不是泛泛而谈的理论。这本书的篇幅就已经说明了其内容的深度，它并没有回避复杂的概念，而是用清晰的语言和图示来解释，这对我来说至关重要。我特别关注了书中关于exploit开发和payload定制的部分，这部分内容往往是区分入门者和高手的关键。我希望这本书能够提供足够的细节和示例，让我理解这些技术背后的原理，并能够自己动手实践。同时，书中对Metasploit模块的管理、更新以及如何编写自定义模块的介绍，也让我看到了进一步提升技能的可能性。我希望这本书能让我具备独立解决复杂安全问题的能力，而不是仅仅学会复制粘贴别人的代码。

评分☆☆☆☆☆

图灵社区推荐的，看看感觉还行

评分☆☆☆☆☆

很好，不错。

评分☆☆☆☆☆

盗版书居多

评分☆☆☆☆☆

好好学习天天向上，好好看书，书不错?

评分☆☆☆☆☆

好书，内容很实在

评分☆☆☆☆☆

图灵社区推荐的，看看感觉还行

评分☆☆☆☆☆

618活动囤的书，还没看

评分☆☆☆☆☆

好好好好好好好好好

评分☆☆☆☆☆

包装，纸质都不错，学习学习。