色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

華為安全大咖談 | 論道攻防第2期:邊界突破之瞞天過海

華為數(shù)據(jù)通信 ? 來源:未知 ? 2023-08-08 18:25 ? 次閱讀

本期講解嘉賓

wKgZomToP9mAPPaSAAEY3zZ68Ho217.jpg

卷首語

帝不曉,令近臣揭幕視之,但見清清海水無窮。帝急問曰:“此是何處?”張士貴起而奏曰:“此乃臣過海之計(jì)。得一風(fēng)勢,三十萬軍乘船過海,至東岸矣。”視之,果在船上。

——《永樂大典·薛仁貴征遼事略》

本文以三十六計(jì)勝戰(zhàn)計(jì)中的第一計(jì)“瞞天過海”為切入點(diǎn),深入剖析了攻擊者在現(xiàn)網(wǎng)環(huán)境和攻防演練中,如何運(yùn)用出奇制勝的偽裝攻擊手段突破Web邊界。

wKgZomToP9mASshUAAADTclaNZ8973.png攻擊之勢

“兵無常勢,水無常形,能因敵變化而取勝者,謂之神”。瞞天過海的核心思想即順應(yīng)環(huán)境變化,利用偽裝手段欺騙對(duì)方,從而達(dá)到取勝目的。

網(wǎng)絡(luò)安全領(lǐng)域,Web應(yīng)用攻擊仍然是主要威脅之一。根據(jù)現(xiàn)網(wǎng)捕獲的數(shù)據(jù)顯示,在Web應(yīng)用攻擊中,90%為可以被快速攔截的無差別掃描。但其他10%的攻擊,如利用0day漏洞或針對(duì)特定系統(tǒng)的攻擊等,就成為了攻防對(duì)抗的高階較量戰(zhàn)場。在Web安全領(lǐng)域,攻防對(duì)抗性尤為顯著。當(dāng)原有的攻擊方式失效后,攻擊者可以快速生成新的繞過方式,最終得以“瞞”過安全設(shè)備或靶機(jī),拿下目標(biāo)。Web應(yīng)用攻擊兩大類偽裝方式為:

  1. 使用通用的隱藏攻擊內(nèi)容的方式——編碼。

  2. 針對(duì)要利用漏洞、語言特點(diǎn)等,定制攻擊內(nèi)容。

wKgZomToP9mASshUAAADTclaNZ8973.png瞞天之式

01藏形匿影 “隱身衣”

“surl=Li4vcGhwaW5mbw==”這個(gè)看似無公害的字符串其實(shí)是某開源軟件的文件包含漏洞攻擊內(nèi)容,攻擊者通過將../phpinfo進(jìn)行base64編碼之后的內(nèi)容“Li4vcGhwaW5mbw==”作為參數(shù)值傳入,從而繞過檢測,于無形之中竊取phpinfo的信息

編碼繞過是很多黑客在進(jìn)行RCE(Remote Command/Code Execute,遠(yuǎn)程命令執(zhí)行)、 Webshell、文件包含等Web類攻擊時(shí)常用的手段。簡單來說,編碼繞過就是通過特定的編碼方式,對(duì)明文的攻擊載荷進(jìn)行一系列字符串操作。這就像給攻擊載荷穿上一件“外套”,使其表面看上去沒有任何攻擊特征,從而“瞞”過各類檢測之天,“過”安全設(shè)備之海。

以下是一些常見的編碼繞過攻擊。

wKgZomToP9mAS3O9AAdai_j81hw300.png

傳統(tǒng)算法通常采用基于正則表達(dá)式的方案進(jìn)行編解碼。隨著場景的增加,正則表達(dá)式的數(shù)量也會(huì)增加,從而影響性能。此外,正則表達(dá)式難以準(zhǔn)確識(shí)別無明顯特征的編碼方式,如base系列。華為在Web攻擊檢測方案中提供了一種基于語言模型的解碼引擎,能夠準(zhǔn)確、輕量、實(shí)時(shí)地識(shí)別編碼位置并進(jìn)行解碼。

02量體裁衣“易容術(shù)”

在不同的攻擊場景中,除了對(duì)攻擊載荷進(jìn)行編碼這類通用的繞過手段外,攻擊者還可以根據(jù)場景和語言特點(diǎn),對(duì)攻擊載荷進(jìn)行量身定制的“變裝”繞過。例如,在Webshell和RCE攻擊中,攻擊者可以采取特定的策略來繞過安全防護(hù)。

@$_="shell";@$_="Web".$_;偽裝的$_

“$_”為何?如果了解PHP語言,可以看出“$_”是經(jīng)過變量嵌套和字符串拼接的“Webshell”,“偽裝的$_”也就是“偽裝的Webshell”。攻擊者通過這種偽裝方式,可以在不被發(fā)現(xiàn)的情況下執(zhí)行惡意代碼。

Webshell是一種常見的惡意腳本,它可以用PHP、JSP、ASP、ASPX等語言編寫。攻擊者利用漏洞將腳本上傳到服務(wù)器上,從而獲得對(duì)服務(wù)器的執(zhí)行操作權(quán)限。根據(jù)微軟365的數(shù)據(jù)顯示,從2020年8月到2021年11月,平均每臺(tái)服務(wù)器遭受了140,000次Webshell攻擊,這是一種高頻高危的攻擊方式。在2022年的攻防演練中,華為HiSec Insight安全態(tài)勢感知系統(tǒng)也捕獲到了多起冰蝎Webshell3.x、4.x連接和哥斯拉木馬上傳攻擊。為了能夠穿透WAF等安全設(shè)備的防護(hù),Webshell經(jīng)常利用編碼、腳本語言特性和加密等手段進(jìn)行偽裝,以“瞞”過安全設(shè)備的檢測,達(dá)到攻擊目的。

  • 明文變裝的Webshell文件

根據(jù)W3techs在2023年的統(tǒng)計(jì)結(jié)果,77.4%的Web服務(wù)端使用PHP語言編碼。因此,PHP語言的Webshell腳本占比也相對(duì)較高。由于PHP是一種動(dòng)態(tài)弱類型語言,在參數(shù)傳遞、類型轉(zhuǎn)換和函數(shù)調(diào)用方式方面非常靈活,攻擊者可以利用這些特性對(duì)Webshell進(jìn)行千變?nèi)f化的變裝繞過。

下面是一些PHP Webshell的變裝手段示例。

wKgZomToP9mAYpSOAAbkjelcWZQ261.png ?

華為在Web攻擊檢測方案中提供了Webshell語義感知模型檢測能力。該模型基于語義分析和智能算法,能夠還原黑客的各種攻擊手法,使繞過攻擊無所遁形。

wKgZomToP9mAGU35AAHyx0ctSeg859.png

  • 加密隱藏的Webshell交互

在攻防演練中,具有明顯特征的第一代管理工具“菜刀”已經(jīng)越來越少被使用。相反,加密Webshell管理工具,如冰蝎和哥斯拉,正變得越來越流行。由于這些工具使用了流量加密技術(shù),傳統(tǒng)的WAF等安全設(shè)備難以對(duì)其進(jìn)行檢測,這給Web安全檢測帶來了巨大的挑戰(zhàn)。

wKgZomToP9mAN8-cAADOo4w41QQ576.png

攻擊者使用Webshell管理工具冰蝎上傳Webshell文件并成功連接后,可以使用它進(jìn)行信息獲取、命令執(zhí)行和內(nèi)網(wǎng)穿透等攻擊。值得注意的是,冰蝎的通信內(nèi)容都經(jīng)過了加密處理,這給安全防護(hù)帶來了一定的挑戰(zhàn)。針對(duì)加密Webshell,Web攻擊檢測方案也提供了智能檢測算法模型。該模型基于對(duì)大量樣本的分析,提取了幾十種特征,進(jìn)行強(qiáng)特征組合,并利用機(jī)器學(xué)習(xí)算法模型推理,能夠準(zhǔn)確識(shí)別加密Webshell流量。

wKgZomToP9qAaIGbAAi2gtuZRrw375.png

who"a"m$@i ==whoami ?

“who"a"m$@i”等于“whoami”嗎?在linux的shell中,等式是成立的!“whoami”是RCE攻擊的常用命令,在“who"a"m$@i”字符串中混合了多種手段繞過檢測:

  • 在linux的shell中“”反斜杠視為空字符;

  • 偶數(shù)個(gè)雙引號(hào)一般用于處理變量中有特殊符號(hào)的場景,但在這里用于繞過混淆;

  • 未初始化的“$@”在此為空字符。因此,“who"a"m$@i”其實(shí)就是“whoami”。

RCE攻擊通常是由于應(yīng)用程序?qū)τ脩籼峤坏臄?shù)據(jù)過濾不嚴(yán)格而導(dǎo)致的。黑客可以通過構(gòu)造特殊命令字符串,將數(shù)據(jù)提交至應(yīng)用程序中,并利用該方式執(zhí)行外部程序或系統(tǒng)命令實(shí)施攻擊。這可能會(huì)導(dǎo)致緩沖區(qū)溢出、非法指令執(zhí)行,甚至通過遠(yuǎn)程命令執(zhí)行提升攻擊者的權(quán)限,控制服務(wù)器。攻擊者可以進(jìn)一步非法獲取數(shù)據(jù)或網(wǎng)絡(luò)資源,實(shí)施挖礦、勒索、信息泄露等惡意行為,給企業(yè)造成嚴(yán)重?fù)p失。

在2022年的攻防演練中,各局點(diǎn)檢測到了大量命令注入的漏掃探測。在這種試探中,一旦攻擊者發(fā)現(xiàn)有機(jī)可乘,接下來就會(huì)發(fā)起猛烈的攻擊。為了不被檢測到,攻擊者會(huì)費(fèi)盡心機(jī)利用通配符繞過、空格繞過、變量拼接、進(jìn)程替換和多命令/路徑/參數(shù)串聯(lián)等多種手段對(duì)攻擊載荷進(jìn)行改變。這樣,他們就可以“瞞”過各種檢測設(shè)備,順利到達(dá)目標(biāo)主機(jī)。

以下是一些RCE的繞過手段示例。

wKgZomToP9qACSuiAAMeCf__H4Q822.png

Web攻擊檢測方案中內(nèi)置了基于智能編碼識(shí)別和解碼引擎和語義還原引擎的RCE人工智能檢測算法。該算法能夠還原各種繞過攻擊載荷,揭示攻擊的真實(shí)面目。

wKgZomToP9qAcPk9AAEP02HyN8Y977.png

wKgZomToP9mASshUAAADTclaNZ8973.png防御之視

針對(duì)攻擊者使用復(fù)雜編碼隱藏攻擊內(nèi)容,以及根據(jù)攻擊場景和語言特點(diǎn)進(jìn)行攻擊內(nèi)容“定制”的不同瞞天之式,防守方也有相應(yīng)的手段來應(yīng)對(duì)。

01先發(fā)制人,讓漏洞風(fēng)險(xiǎn)可視。

在系統(tǒng)中部署漏洞掃描產(chǎn)品,定期檢查是否存在漏洞。這樣,在攻擊者進(jìn)行漏洞利用前,就能提前感知漏洞風(fēng)險(xiǎn),對(duì)主機(jī)進(jìn)行安全加固,并及時(shí)更新補(bǔ)丁。

02固本培元,令繞過攻擊過程可視。

安裝流量監(jiān)測分析設(shè)備,實(shí)現(xiàn)快速準(zhǔn)確的高級(jí)威脅檢測。

wKgZomToP9qAKqJbAAIId4e-VZw112.png ?

針對(duì)利用Web攻擊的邊界突破,華為HiSec Insight安全態(tài)勢感知系統(tǒng)中提供了多層級(jí)智能檢測方案,包括Web正常業(yè)務(wù)基線、智能編碼識(shí)別與解碼引擎、語義分析引擎和人工智能檢測引擎:

Web正常業(yè)務(wù)基線:

利用IP段、請(qǐng)求Header、URL路徑、URL參數(shù)等多維度畫像,對(duì)Web正常業(yè)務(wù)進(jìn)行自學(xué)習(xí),形成基線,減少正常業(yè)務(wù)導(dǎo)致的事件誤報(bào)。

智能編碼識(shí)別與解碼:

基于語言模型的編碼位置定位與解碼算法,覆蓋常見編碼的部分/混合/疊加編碼場景。

語義分析引擎:

自研輕量級(jí)詞法分析和語義理解模型,高性能還原語義,對(duì)智能檢測提供有效輸入,并輔助展示攻擊行為真面目,提升取證能力。

人工智能檢測引擎:

基于語義還原結(jié)果,進(jìn)行算法模型特征提取,使用有監(jiān)督/無監(jiān)督模型推理,覆蓋Webshell、RCE、XSS、SQL注入、文件包含等多種攻擊場景。

利用上述多層級(jí)智能檢測方案,可以準(zhǔn)確識(shí)別攻擊者的偽裝,褫其華袞,示人本相,“瞞”無所 “瞞”。


聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 華為
    +關(guān)注

    關(guān)注

    216

    文章

    34417

    瀏覽量

    251524

原文標(biāo)題:華為安全大咖談 | 論道攻防第2期:邊界突破之瞞天過海

文章出處:【微信號(hào):Huawei_Fixed,微信公眾號(hào):華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦

    C2000?2代至3代MCU功能安全使能器遷移指南

    電子發(fā)燒友網(wǎng)站提供《C2000?2代至3代MCU功能安全使能器遷移指南.pdf》資料免費(fèi)下載
    發(fā)表于 11-28 15:08 ?0次下載
    C2000?<b class='flag-5'>第</b><b class='flag-5'>2</b>代至<b class='flag-5'>第</b>3代MCU功能<b class='flag-5'>安全</b>使能器遷移指南

    【即將開始】OpenHarmony城市技術(shù)論壇——11(香港站):智能終端操作系統(tǒng)技術(shù)與國際化生態(tài)構(gòu)建

    11? 香港站 港澳臺(tái)地區(qū)首個(gè)城市論壇即將開啟 多位大齊聚!共同探討智能終端操作系統(tǒng)技術(shù)與國際化生態(tài)構(gòu)建! 快來關(guān)注,精彩內(nèi)容不錯(cuò)過!
    的頭像 發(fā)表于 11-12 11:53 ?132次閱讀
    【即將開始】OpenHarmony城市技術(shù)論壇——<b class='flag-5'>第</b>11<b class='flag-5'>期</b>(香港站):智能終端操作系統(tǒng)技術(shù)與國際化生態(tài)構(gòu)建

    OpenHarmony城市技術(shù)論壇11(香港站)【智能終端操作系統(tǒng)技術(shù)與國際化生態(tài)構(gòu)建】大齊聚

    OpenHarmony城市技術(shù)論壇——11(香港站) 【主題:智能終端操作系統(tǒng)技術(shù)與國際化生態(tài)構(gòu)建】 專家齊聚,精彩來襲,議題揭曉,不容錯(cuò)過! 時(shí)間 : 2:00 - 5:30 PM
    的頭像 發(fā)表于 11-11 10:48 ?247次閱讀
    OpenHarmony城市技術(shù)論壇<b class='flag-5'>第</b>11<b class='flag-5'>期</b>(香港站)【智能終端操作系統(tǒng)技術(shù)與國際化生態(tài)構(gòu)建】大<b class='flag-5'>咖</b>齊聚

    華為智界R7:重塑空間邊界,智能科技引領(lǐng)寬適新體驗(yàn)

    華為汽車智界R7,以其匠心獨(dú)運(yùn)的設(shè)計(jì)哲學(xué),重新定義了汽車空間的邊界。這款車型不僅繼承了華為在智能科技領(lǐng)域的深厚積累,更在車內(nèi)空間上實(shí)現(xiàn)了跨越式的突破。R7的內(nèi)部空間寬敞而舒適,無論是前
    的頭像 發(fā)表于 09-24 15:49 ?971次閱讀
    <b class='flag-5'>華為</b>智界R7:重塑空間<b class='flag-5'>邊界</b>,智能科技引領(lǐng)寬適新體驗(yàn)

    交通數(shù)字化轉(zhuǎn)型路在何方?華為帶你破局

    挑戰(zhàn)和不確定性,如:技術(shù)與傳統(tǒng)業(yè)務(wù)難以融合、數(shù)據(jù)孤島尚未完全打通、跨部門跨領(lǐng)域的協(xié)同合作存在壁壘、技術(shù)更新與維護(hù)等。 那么交通行業(yè)到底該如何進(jìn)行數(shù)字化轉(zhuǎn)型呢? 關(guān)于這個(gè)問題,我求教了一位華為——華為交通智慧
    的頭像 發(fā)表于 08-19 23:30 ?446次閱讀

    HarmonyOS大問答探討-鴻蒙原生應(yīng)用元服務(wù)上架

    【精彩活動(dòng)】大問答活動(dòng)·8 HDE李洋老師與大家探討“鴻元服務(wù)開發(fā)及上架”相關(guān)的技術(shù)疑問,速速圍觀,在本帖下方評(píng)論,就有機(jī)會(huì)領(lǐng)取好禮,收獲驚喜,即刻參與吧! https
    發(fā)表于 08-13 16:53

    宋仕強(qiáng)論道深圳華強(qiáng)北

    SlkorKinghelm華強(qiáng)北宋仕強(qiáng)先生宋仕強(qiáng)是薩科微半導(dǎo)體和金航標(biāo)電子這兩家公司的總經(jīng)理,在他的強(qiáng)力帶領(lǐng)下,薩科微和金航標(biāo)的營收數(shù)據(jù)連續(xù)兩年超過100%的增長!宋仕強(qiáng)先生發(fā)布“宋仕強(qiáng)論道”系列
    的頭像 發(fā)表于 06-27 08:12 ?582次閱讀
    宋仕強(qiáng)<b class='flag-5'>論道</b><b class='flag-5'>之</b>深圳華強(qiáng)北

    紅隊(duì)攻防快速打點(diǎn)

    導(dǎo)讀: 在整個(gè)紅隊(duì)攻防體系中,打點(diǎn)是最基礎(chǔ)也是最重要的一步。它對(duì)于紅隊(duì)在攻防比賽中取得快速和高效的進(jìn)展至關(guān)重要。然而,在實(shí)際的攻防比賽中,由于資產(chǎn)數(shù)量龐大、紅隊(duì)人員稀缺以及時(shí)間緊迫等各種因素,導(dǎo)致
    的頭像 發(fā)表于 05-27 10:20 ?248次閱讀
    紅隊(duì)<b class='flag-5'>攻防</b><b class='flag-5'>之</b>快速打點(diǎn)

    紅隊(duì)攻防JS攻防

    傳遞的參數(shù)加密了事,忽略很多系統(tǒng)本身存在的安全風(fēng)險(xiǎn)。本文以實(shí)戰(zhàn)角度出發(fā),介紹面對(duì)這種前端加密情況下的攻防技巧。 ? 測 試 思 路 常見的JavaScript逆向相關(guān)的技巧,包括瀏覽器調(diào)試、Hook、AST、無限D(zhuǎn)ebugger的繞過以及模擬調(diào)用Ja
    的頭像 發(fā)表于 05-27 10:16 ?212次閱讀
    紅隊(duì)<b class='flag-5'>攻防</b><b class='flag-5'>之</b>JS<b class='flag-5'>攻防</b>

    宋仕強(qiáng)論道”系列講座的文章暨宋仕強(qiáng)先生研究華強(qiáng)北模式和華強(qiáng)北文化的系列文章,再次迎來更新!

    ****“宋仕強(qiáng)論道”系列講座的文章暨宋仕強(qiáng)先生(Huaqiangbei Songshiqiang)研究華強(qiáng)北模式和華強(qiáng)北文化的系列文章,再次迎來更新!《宋仕強(qiáng)論道華強(qiáng)北科技創(chuàng)新與電子信息產(chǎn)業(yè)生態(tài)
    發(fā)表于 03-26 10:36

    榮小菜補(bǔ)鈣記61_LabVIEW遞歸文件及文件夾

    榮小菜補(bǔ)鈣記61_LabVIEW遞歸文件及文件夾 同步更新于 WeChat:榮小菜在補(bǔ)鈣 大家好,我是榮小菜,本期主要講解如何使用LabVIEW編程實(shí)現(xiàn)查詢目標(biāo)文件夾中的全部文件及文件夾
    發(fā)表于 02-16 21:36

    網(wǎng)絡(luò)攻防模擬與城市安全演練 | 數(shù)字孿生

    在數(shù)字化浪潮的推動(dòng)下,網(wǎng)絡(luò)攻防模擬和城市安全演練成為維護(hù)社會(huì)穩(wěn)定的不可或缺的環(huán)節(jié)。基于數(shù)字孿生技術(shù)我們能夠在虛擬環(huán)境中進(jìn)行高度真實(shí)的網(wǎng)絡(luò)攻防模擬,為安全專業(yè)人員提供實(shí)戰(zhàn)經(jīng)驗(yàn),從而提升應(yīng)
    的頭像 發(fā)表于 02-04 10:48 ?663次閱讀
    網(wǎng)絡(luò)<b class='flag-5'>攻防</b>模擬與城市<b class='flag-5'>安全</b>演練 | 數(shù)字孿生

    宋仕強(qiáng)論道華強(qiáng)北之于福田區(qū)和深圳市(四十九)

    宋仕強(qiáng)論道華強(qiáng)北之于福田區(qū)和深圳市(四十九): 華強(qiáng)北我講的差不多了,從宏觀發(fā)展情況來看是憂喜參半,既有積極的一面,也存在現(xiàn)在的和潛在的隱憂。福田區(qū)的經(jīng)濟(jì)發(fā)展面臨很大的挑戰(zhàn),福田區(qū)GDP差不多
    發(fā)表于 01-24 09:23

    宋仕強(qiáng)論道華強(qiáng)北的專業(yè)市場(四十八)

    宋仕強(qiáng)論道華強(qiáng)北的專業(yè)市場(四十八): 華強(qiáng)北衰敗的原因是什么,一個(gè)主要原因是,幾十個(gè)各式各樣的專業(yè)市場在激烈的競爭時(shí),沒有變革和迭代而衰敗了,當(dāng)然背后還有支撐他們的產(chǎn)業(yè)鏈和生態(tài)鏈也是如此。比如
    發(fā)表于 01-23 09:51

    宋仕強(qiáng)論道華強(qiáng)北電子交易中心(四十三)

    宋仕強(qiáng)論道華強(qiáng)北電子交易中心(四十三): 最近中國電子CECC牽頭的電子交易中心在前海掛牌,這給華強(qiáng)北帶來了一些威脅,也蠶食了部分華強(qiáng)北市場。事實(shí)上,電子元器件市場是一個(gè)非常巨大且復(fù)雜的市場,包括
    發(fā)表于 01-16 11:34
    主站蜘蛛池模板: 亚洲中文有码字幕日本| 国产h视频在线观看免费| 美女强奷到抽搐在线播放| 伊人网青青草| 啦啦啦WWW在线观看免费高清版 | 欧美精品XXXXBBBB| 99视频精品全部免费 在线| 男人都懂www深夜免费网站| avv天堂| 欧洲最大无人区免费高清完整版| jazzjazzjazz欧美| 人妻夜夜爽天天爽三区麻豆AV网站| yellow视频免费观看高清在线| 欧美亚洲日韩自拍高清中文| 超碰在线视频 免费| 色戒西瓜视频| 国产女合集小岁9三部| 亚洲国产中文在线视频免费| 精品国产乱码久久久久乱码| 瑜伽牲交AV| 男女性杂交内射妇女BBWXZ | 18女下面流水不遮网站免费| 美女拉开腿让男生桶到爽| brazzers情欲狂欢| 日本最新免费区中文| 国产精品麻豆高潮刺激A片| 亚洲精品成人a| 久久毛片视频| 97资源总站(中文字幕)| 起碰免费公开97在线视频| 成a人片亚洲日本久久| 无套暴躁白丝秘书| 娇小8一12xxxx第一次| 2012中文字幕手机在线| 人善交XUANWEN200喷水| 国产精品久久久久久AV免费不卡| 亚洲精品中文字幕无码A片蜜桃| 久就热视频精品免费99| 把内衣脱了把奶露出来| 无码国产色欲XXXX视频| 精品久久久久久久高清|