WooYun Zone镜像——逆向追踪一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件

admin 7月前 202

以下内容撰写于2014年6月26日上午,由于时间精力关系,当时只写了一半,搁置了大半个月,后来在乌云的一个帖子中发现了一模一样的大规模钓鱼行为(帖子内容见底下)。

在乌云疯狗、长短短等朋友的强烈建议下,将这篇文章整理了出来,由于过了大半个月,有些细节、逻辑已渐渐模糊、混淆,经过了一段时间的整理(可以看到文中穿插有不同时间的点评),进行了收尾完善。

这是一个精心策划的、大规模的、针对国内企业OA系统的批量钓鱼攻击行为!

同时,这也是对国内企业邮箱、OA系统大规模钓鱼攻击的一个预警!

具体预警见之后西安零日网络科技有限公司网络安全专家核攻击(核总)联合乌云漏洞报告平台发布的预警内容。

(喜欢看核总逆向追踪、反向爆菊、跟踪分析类文章的同学,请翻到最底下。)

事件分析:

1、钓鱼者事先在互联网采集了大量企业、网站管理员、政府网站人员的邮箱地址。

2、钓鱼者事先在互联网扫描了大量存在弱口令的企业邮箱,进行大量钓鱼邮件群发(可以不进入垃圾箱)。

3、钓鱼者使用这些企业邮箱对采集到的邮箱地址进行大量钓鱼邮件群发,内容基本一致。

4、钓鱼者注册了几个域名,专门用作钓鱼收信。

5、这是一起针对国内企业OA系统精心策划的大规模钓鱼攻击事件。(APT攻击?)

6、目前尚不明确钓鱼者目的何在。(撒大网钓大鱼的节奏?)

以上分析来自西安零日网络科技有限公司网络安全专家核攻击(核总)。

0x01 意外收获

核总早上收到一封钓鱼邮件,实际上每天都能收到一大堆钓鱼邮件,烦不胜烦,但是这封邮件比较有意思,跟随核总简单的分析一下它~

先来看看钓鱼邮件内容:

邮件明文内容:

关于EMIS邮件服务升级的通知

1.根据相关用户和员工反映:邮箱容量不够日常使用,邮箱登录使用存在卡顿的现象!

2.为保证邮箱系统的稳定运行和正常使用,现在需要对部分邮箱进行升级测试!

3.请收到此邮件的员工将个人信息发送到OA邮箱系统维护邮箱:admin@seveice.cn.com<mailto:admin@seveice.cn.com>

格式如下:

姓名:

职位:

员工编号:

登陆地址:

邮箱账号:

邮箱密码:

原始密码:

电话和短号:

备注:本次升级检测为期7-15天,为此给你带了不便的地方,敬请理解。为保证顺利升级,在接受到结束通知之前,请不要修改账号密码,谢谢配合!

________________________________

保密声明:本邮件及其所有附件仅发送给特定收件人。它们可能包含(**)电力规划设计研究院的内部信息,秘密信息,专有信息或受到法律保护的其他信息。未经许可,任何人不得进行传播、分发或复制。此声明视为(**)电力规划设计研究院的保密要求标识。若您误收本邮件,请立即删除或与邮件发送人联系。

内容看起来挺一本正经的么,钓鱼收集的信息挺全的么,括弧笑~

0x02 抽丝剥茧

为了方便理解,我们从上往下按顺序分析吧(注意红框中的内容)。

1、service@2014-6-26.net,是一个以日期命名的、伪造的、不存在的域名。

2、u3354@(******).com,百度了一下域名,是:(**)电力规划设计研究院,(**)核电、SNPTC,www.(******).com

目测寡人和这个(**)核电研究院木有任何关系,目测钓鱼者看寡人网名是核攻击,就弄了个(**)核电的邮箱增强真实性(也有可能只是为了用个正常域名,让邮件不进入垃圾箱?)(2014-7-14 18:10:08 补充:证明这个猜想正确!)(不排除(**)核电域名已被搞下,见后边的分析~)

继续看~

3、admin@seveice.cn.com,域名看起来挺正规的么,呵呵,先收集起来稍后分析,括弧笑~

4、红框中的内容:“……本次升级检测为期7-15天……在接受到结束通知之前,请不要修改账号密码,谢谢配合!”,请不要修改账号密码?Just 呵呵~你这后期渗透工作,动作也太慢了吧,居然需要7-15天,寡人一般最多一两天就完事了~

5、最底下的红框中的内容“……它们可能包含(**)电力规划设计研究院的内部信息,秘密信息……” ,应该是邮件系统模板自带或页脚附加内容,制式化发送。

再来看看邮件原文(原始数据): 

Received: from WebsenseEmailSecurity.com (unknown [***.***.202.227])

by bizmx6.qq.com (NewMx) with SMTP id

for <root@getmonero.us>; Thu, 26 Jun 2014 07:40:26 +0800

X-QQ-SSF: 005000000000000000K000010420600

X-QQ-mid: bizmx6t1403739626t7xszqhfx

X-QQ-CSender: u3354@(******).com

X-QQ-FEAT: h0yizCkM5mMZ/tU/FDOZge7cwU1MZMYVkeLy/yM35Sk=

Received: from GH-ML-05.(******).com (unknown [172.17.1.9])

by Websense Email Security Gateway with ESMTPS id D2940D569E7

for <root@getmonero.us>; Thu, 26 Jun 2014 07:40:24 +0800 (CST)

Sender: <u3354@(******).com>

Message-ID: <887BFDC27B5F3D02FFFD3DFAF7A4B300@jyiia>

From: <service@2014-6-26.net>

To: <root@getmonero.us>

Subject: =?utf-8?B?5YWz5LqOT0HnmbvpmYbljYfnuqfnmoTpgJrnn6U=?=

Date: Thu, 26 Jun 2014 07:40:08 +0800

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_0957_01B53497.13B65610"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2900.5512

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

X-Originating-IP: [113.111.200.115]

------=_NextPart_000_0957_01B53497.13B65610

Content-Type: text/plain; charset="utf-8"

Content-Transfer-Encoding: base64

5YWz5LqORU1JU+mCruS7tuacjeWKoeWNh+e6p+eahOmAmuefpQ0KDQoxLuagueaNruebuOWFs+eU

......

------=_NextPart_000_0957_01B53497.13B65610--

从邮件原文头中能提取到很多有价值的信息,比如邮件发送者的IP地址:

***.***.202.227 中国北京市 电信

经过 IP 反查,确认这个 IP 地址为 “(**)核电” 邮件服务器的IP地址:mx.(******).com(***.***.202.227),该 IP 地址目前可以 Ping 通~

(提示:(**)核电官网域名,www.(******).com(***.***.202.225),以及视频会议服务器:***.***.202.232,和邮件服务器都在一个c段的。)

也就是说,熊孩纸使用(**)核电的邮件服务器发送的,So,该服务器上会有登陆及发送日志,So~上门爆菊抓人~你懂的~

0x03 初探虎穴

在官网看了看,发现了一点(**)核电网络基本构架:

<a href='http://***.***.202.232/conference_list.html' class='bt_link' title='视频会议' target=_blank></a>

<a href='http://www.(******).com:8001/rszp/tzgg.asp' class='bt_link' title='人才招聘' target=_blank></a>

<a href='https://mail.(******).com/' class='bt_link' title='企业邮箱' target=_blank></a>

<a href='https://vpn.(******).com/por/login_psw.csp' class='bt_link' title='移动办公' target=_blank></a>

***.***.202.225(www.(******).com),(**)核电官网

***.***.202.226(mail.(******).com),企业邮箱

***.***.202.227(mx.(******).com),邮件服务器

***.***.202.230(vpn.(******).com),移动办公

***.***.202.232(***.***.202.232),视频会议

可以看到企业邮箱登陆域名,So,如果使用熊孩纸的账户“u3354@(******).com”登陆邮箱会如何呢?

于是核总经过前边的(**)核电网络基本构架摸排,顺利进入(**)核电企业邮箱登陆页面(mail.(******).com):

并使用之前的发件账号(u3354@(******).com)与密码(123456)(2014-7-14 18:12:59 补充:现在密码已被修改!)成功登陆!

(旁白:登陆密码是核总瞎猜的,人品爆发,是吧~)

(2014-7-14 19:10:14 补充:事后这也证明一个观点:该犯罪团伙可能大规模扫描互联网中的企业邮箱弱口令,并进行利用,进行大规模邮件群发!而且如上边所述,邮件不会进入垃圾箱!)


发现这只是一个普通员工“张仝”(可能已经离职,账户没有注销)的企业邮箱(2014-7-14 18:19:31 补充:企业邮箱是个大坑,国内各大厂商早该注意这个事情了!),而且密码是弱口令,看了下使用日志、收/发件箱,已经很久没用了~

https://mail.(******).com/

账户:u3354@(******).com

密码:123456

账户资料:

张仝

帐户信息 - 张仝

一般信息

显示名称: 张仝

电子邮件地址: u3354@(******).com

联系号码

工作电话:

移动电话:

核总已使用将所有邮件导出。(见之后的附件资料下载)

0x04 得来全不费工夫

同时核总在该员工邮箱内发现数以千计的已发送的大规模钓鱼邮件!!!



经过核总细细查阅,发现这些都是收件人地址不存在或其它各种原因导致发送失败的退信,或者收件人自动回复的邮件!

(旁白:核总已经所有邮件打包下载,为以后追踪提供资料研究!)

数量足有上千封,这仅仅只是几个小时内的接收量!

从时间间隔、退信比率以及自动回复比率计算,保守估计,该犯罪团伙已使用这个邮箱发送了至少上万份钓鱼邮件!

经过推测,该犯罪团伙所掌握的弱口令企业邮箱应该远远不止这一个,经过简单计算,其发送数量应该十分巨大!频率极高!

这里挖到的东西仅仅是其中冰山一角!(2014-7-15 10:44:29 补充:事后证明,该团伙使用了大量互联网上存在的弱口令企业邮箱进行钓鱼邮件群发!数量可能达到数百万封之多~)

经过查阅退信邮件内容,发现都是发给各种网站管理员、各种企业员工、各类政府网站邮箱,种类繁多。


经过分析,推测该犯罪团伙的邮件发送地址名单,应该是从搜索引擎搜索某类关键词批量采集的。

发送如此多的钓鱼邮件,目的不得而知。

邮件分析,暂且告一段落,再看看这个钓鱼邮件接收邮箱(admin@seveice.cn.com)是何方神圣。

0x05 深入敌后

国际惯例,看看钓鱼邮件接收邮箱(admin@seveice.cn.com)的域名解析情况先~

C:\>nslookup seveice.cn.com

服务器:  UnKnown

Address:  218.30.19.50

非权威应答:

名称:    seveice.cn.com

Address:  103.243.25.92

C:\>nslookup www.seveice.cn.com

服务器:  UnKnown

Address:  218.30.19.50

非权威应答:

名称:    www.seveice.cn.com

Address:  103.243.25.92

IP地址:103.243.25.92,归属地:

1、香港特别行政区

2、香港, 上海游戏风云公司香港节点

3、亚太地区

这个 IP 地址挺特别的,在很多地方查询都没有归属地记录。

再看看 ns 解析记录:

C:\>nslookup -qt=ns seveice.cn.com

服务器:  UnKnown

Address:  218.30.19.50

非权威应答:

seveice.cn.com  nameserver = f1g1ns1.dnspod.net

seveice.cn.com  nameserver = f1g1ns2.dnspod.net

f1g1ns2.dnspod.net      internet address = 180.153.162.150

f1g1ns2.dnspod.net      internet address = 182.140.167.188

f1g1ns2.dnspod.net      internet address = 122.225.217.191

f1g1ns2.dnspod.net      internet address = 112.90.143.29

f1g1ns1.dnspod.net      internet address = 122.225.217.192

f1g1ns1.dnspod.net      internet address = 183.60.52.217

f1g1ns1.dnspod.net      internet address = 119.167.195.3

f1g1ns1.dnspod.net      internet address = 182.140.167.166

可以看出,该域名解析权限托管在 DNSPod,想抓人,找腾讯!(DNSPod由吴洪声创建,在2011年被腾讯全资收购~)

在看看 mx 邮件服务器解析记录:

C:\>nslookup -qt=mx seveice.cn.com

服务器:  UnKnown

Address:  218.30.19.50

非权威应答:

seveice.cn.com  MX preference = 10, mail exchanger = mxdomain.qq.com

mxdomain.qq.com internet address = 183.60.62.12

mxdomain.qq.com internet address = 183.60.61.225

mxdomain.qq.com internet address = 183.62.125.200

mxdomain.qq.com internet address = 112.95.241.32

mxdomain.qq.com internet address = 112.90.142.55

可以看出,该域名使用的腾讯域名邮箱,还是那句话,想抓人,找腾讯!

再看看该域名历史解析的IP地址记录(IP反查网站接口 旁站查询 IP查域名 域名历史解析记录查询 IP地址查机房AS号):


Site: http://seveice.cn.com

Domain: seveice.cn.com

Netblock Owner: 26C,No.666,Gonghexin road,Shanghai,China

               (上海共和新路666号中土大厦26C(上海鄂佳信息科技有限公司))

Nameserver: f1g1ns1.dnspod.net

IP address: 103.243.25.92

DNS admin: freednsadmin@dnspod.com

Hosting History

Netblock owner: 26C,No.666,Gonghexin road,Shanghai,China

               (上海共和新路666号中土大厦26C(上海鄂佳信息科技有限公司))

IP address: 103.243.25.92

OS: Windows Server 2003

Web server: Netbox v3.0 201005

Last seen Refresh: 3-Jul-2014

Last seen Refresh: 26-Jun-2014

Last seen Refresh: 14-Jul-2014

可以看到该域名的解析记录以及基本信息,如上所示。

Web Server 居然用的是 Netbox v3.0 201005?

直接访问这个 IP 地址看看,



疑似一个QQ钓鱼站点?

再直接访问这个域名看看:





发现是一个假冒 QQ 安全中心的钓鱼站点。

(核总吐槽:居然还是用的 Asp + Netbox v3.0 201005,太业余了吧~)

0x06 继续追查

最后看看该域名的 Whois 信息:

Domain ID:CNIC-DO2659321

Domain Name:SEVEICE.CN.COM

Created On:2014-05-16T08:44:41.0Z

Last Updated On:2014-05-28T04:00:35.0Z

Expiration Date:2015-05-16T23:59:59.0Z

Status:clientTransferProhibited

Status:serverTransferProhibited

Registrant ID:TOD-43669078

Registrant Name:wu haitao

Registrant Organization:wu haitao

Registrant Street1:zhongqiangquanququa

Registrant City:shizonggonghui

Registrant State/Province:Henan

Registrant Postal Code:808080

Registrant Country:CN

Registrant Phone:+86.1083298850

Registrant Fax:+86.1083298850

Registrant Email:5777755@qq.com

Admin ID:TOD-43669079

Admin Name:wu haitao

Admin Organization:wu haitao

Admin Street1:zhongqiangquanququa

Admin City:shizonggonghui

Admin State/Province:Henan

Admin Postal Code:808080

Admin Country:CN

Admin Phone:+86.1083298850

Admin Fax:+86.1083298850

Admin Email:5777755@qq.com

Tech ID:TOD-43669080

Tech Name:wu haitao

Tech Organization:wu haitao

Tech Street1:zhongqiangquanququa

Tech City:shizonggonghui

Tech State/Province:Henan

Tech Postal Code:808080

Tech Country:CN

Tech Phone:+86.1083298850

Tech Fax:+86.1083298850

Tech Email:5777755@qq.com

Billing ID:TOD-43669081

Billing Name:wu haitao

Billing Organization:wu haitao

Billing Street1:zhongqiangquanququa

Billing City:shizonggonghui

Billing State/Province:Henan

Billing Postal Code:808080

Billing Country:CN

Billing Phone:+86.1083298850

Billing Fax:+86.1083298850

Billing Email:5777755@qq.com

Sponsoring Registrar ID:H3245827

Sponsoring Registrar IANA ID:697

Sponsoring Registrar Organization:ERANET INTERNATIONAL LIMITED

Sponsoring Registrar Street1:02 7/F TRANS ASIA CENTRE 18 KIN HONG STREET KWAI CHUNG N.T

Sponsoring Registrar City:Hongkong

Sponsoring Registrar Postal Code:999077

Sponsoring Registrar Country:CN

Sponsoring Registrar Phone:+85.235685366

Sponsoring Registrar Fax:+85.235637160

Sponsoring Registrar Website:http://www.now.cn/

Referral URL:http://www.now.cn/

WHOIS Server:whois.now.cn

Name Server:F1G1NS1.DNSPOD.NET

Name Server:F1G1NS2.DNSPOD.NET

DNSSEC:Unsigned

>>> Last update of WHOIS database: 2014-07-14T11:42:10.0Z <<<

This whois service is provided by CentralNic Ltd and only contains

information pertaining to Internet domain names we have registered for

our customers. By using this service you are agreeing (1) not to use any

information presented here for any purpose other than determining

ownership of domain names, (2) not to store or reproduce this data in

any way, (3) not to use any high-volume, automated, electronic processes

to obtain data from this service. Abuse of this service is monitored and

actions in contravention of these terms will result in being permanently

blacklisted. All data is (c) CentralNic Ltd https://www.centralnic.com/

可以提取出很多重要信息,得知该域名注册者为:

域名:SEVEICE.CN.COM

创建时间:2014-05-16T08:44:41.0Z

最后更新:2014-05-28T04:00:35.0Z

过期时间:2015-05-16T23:59:59.0Z

姓名:wu haitao(吴海涛?)

组织:wu haitao(吴海涛?)

地址:zhongqiangquanququa(中枪全区去啊?)

城市:shizonggonghui(市总工会?)

州/省:Henan(河南)

邮政编码:808080

国家:CN

电话:+86.1083298850(百度一下会有惊喜)

传真:+86.1083298850(百度一下会有惊喜)

电子邮箱:5777755@qq.com(QQ:5777755,号码不错)

看来域名该注册没多久,刚刚满一月多~

QQ:5777755,号码不错:

百度了一下:1083298850

搜索了一下 www.hk6h.net,发现是个香港六合彩赌博网站。

0x07 铁证如山

又在爱站进行了 Whois 反查,发现还注册了另外一个域名:

(2014-7-14 20:27:02 补充:后来发现此人注册了一大堆各种域名,各类黑产都做,感兴趣的朋友可以自行搜索~)

域名:tccmtce.com

解析地址:142.0.135.52(美国)

名称服务器:F1G1NS1.DNSPOD.NET

名称服务器:F1G1NS2.DNSPOD.NET

创建时间:2014-05-17 T 16:17:38Z

过期时间:2015-05-17 T 16:17:38Z

更新时间:2014-06-02 T 10:51:35Z

城市:shizonggonghui

国家:CN

电子邮箱:5777755@qq.com

传真:86.1083298850

产品名称:wu haitao(吴海涛)

组织:wu haitao(吴海涛)

电话:86.1083298850

邮编:808080

州/省:shizonggonghui

街道:zhongqiangquanququa

投诉联系邮箱:abuse@72e.net

投诉联系电话:+86.75788047236

介绍网址:http://www.72e.net

Whois服务:whois.72dns.com

注册地:Foshan YiDong Network Co.LTD (佛山市屹东网络有限公司)

可以看出来这个域名的注册信息和之前的域名一摸一样,注册时间也十分相近~

后经证实,这个域名也是用来群发邮件的一个钓鱼接收邮箱(admin@tccmtce.com)(出自乌云的一个帖子,具体内容见底下)。

由于时间精力有限,暂且追踪到这里,感兴趣的朋友可以深挖。

以上分析来自西安零日网络科技有限公司网络安全专家核攻击(核总)。

乌云发现的钓鱼帖子内容:

这是一次精心布置的“广撒网钓大鱼”攻击么?

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-07-11 15:12

已知有乌云平台、某安全公司、某电商公司、某建站系统开发商收到同样的邮件,这应该不是一次定点攻击,而是一次针对国内企业广撒网式的钓鱼攻击,有知情的小伙伴么?

邮件标题:

更新(OA)系统通知!望各大领导及同事配合!

邮件原文:

各位领导及同事:

公司办公自动化(OA)系统自运行以来,已不断优化完善。为提高办公效率,实现无纸化办公,公司将全面推进办公自动化(OA)系统的使用,

公司企业邮箱系统计划于即日起开始进行迁移升级,在此之前,请您务必配合做好以下工作:

现将相关事项通知如下:

在收到邮件的第一时间。将下列信息填写完毕回复到:

admin@tccmtce.com

姓名:[必填]

职位:[必填]

编号:[必填]

邮箱:[必填]

密码: [必填]

原始密码:[必填]

登录地址:[必填]

手机: [必填]

备注:为保证顺利测试升级,请在接到结束通知前,不要更改邮箱密码。谢谢配合!迁移升级完毕后web邮



各种吐槽:

1#

pigzhu | 2014-07-11 15:15

强悍。。

2#

小胖胖要减肥 | 2014-07-11 15:16

我收到了几个不同地址发的了

3#

Mr .LZH | 2014-07-11 15:17

4#

雅柏菲卡 (万物有灵,切忌污损。。。。。。) | 2014-07-11 15:18

@小胖胖要减肥 依我看 把攻击者拖出去 赏一丈红

5#

李旭敏 ((????????????????????????) | 2014-07-11 15:24

5777755@qq.com

6#

孤独雪狼 (打倒高帅富,推倒白富美!) | 2014-07-11 15:29

公司有人收到过 我们发出警报

7#

goderci (</null>) | 2014-07-11 15:48

是的,我厂也收到了

8#

肉肉 | 2014-07-11 15:56

我是来看分析的

9#

YY-2012 (SM沐足桑拿推拿来前订房优惠多多 一条龙服务) | 2014-07-11 16:02

@肉肉 以内线漏洞,求肾

10#

Mujj (Krypt VPS特价www.80host.com) | 2014-07-11 16:06

已经会被HOLD域名。

11#

Mujj (Krypt VPS特价www.80host.com) | 2014-07-11 16:08

目测会被HOLD域名。

12#

小胖子 (z7y首席代言人) | 2014-07-11 16:09

看到 白帽子-后面 那个淫荡的兔子头像,就知道是@zeracker

13#

Kuuki | 2014-07-11 16:11

貌似很久以前就开始了,先针对学校和政府企业,邮箱里几乎一堆这玩意

14#

zeracker (多乌云、多机会!) | 2014-07-11 16:33

@小胖子 。。。。。。。。

15#

P w | 2014-07-11 16:33

每天都能收到。

16#

her0ma | 2014-07-11 16:40

要是对腾讯企业QQ邮箱做APT 收货应该会不错………… 邮件安全很重要啊~~~~~~~~~~~~~~

17#

小泽 (爱上泷泽萝拉,可我的电脑没有种子 这让我感到绝望) | 2014-07-11 16:49

我儿子@helen 对此事表示负责

18#

淡漠天空 | 2014-07-11 17:23

我是来看评论的

19#

3King | 2014-07-11 17:41

目测这是看了2014电子商务安全技术峰会提议的某个内容后来测试的。

freebuf链接地址:http://www.freebuf.com/news/37849.html

pdf下载地址:http://pan.baidu.com/s/1GSwuM(见其中的:十年防泄密的那些事儿-吴鲁加.pdf)

20#

zeracker (多乌云、多机会!) | 2014-07-11 18:09

@3King 内容是上周的

21#

1fn0 | 2014-07-11 18:43

@3King 一字不差。。。。

22#

哦哦 | 2014-07-11 19:33

@3King tk教主的pdf这个压缩包里没有啊, 求共享一份,谢谢~

23#

无敌L.t.H (:?端异是都乳贫持支?乳巨是须必神肉) | 2014-07-11 19:51

这个表单也有点搞笑,还要登录地址?登录地址都不知道升级个啥?

24#

scan_z | 2014-07-11 23:20

我想知道他们控制这个OA有什么用。。???

25#感谢(1)

p4ssw0rd (.Y.) | 2014-07-12 02:52

apt攻击啊

26#

LeadUrLife | 2014-07-12 09:10

一个月前,我还以为是只针对国内通信运营商的。。

27#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-07-12 09:16

之前收到过,而且把这个团伙逆向追踪挖出来了,本来打算写篇文章的,后来时间关系,没写。

28#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-07-12 09:17

内容一摸一样。

29#

浅兮 (初中生) | 2014-07-12 11:21

看,大牛就是大牛,连乌云都不放过!又不见他在搞一次极光行动

30#

凌晨 | 2014-07-12 14:31

@核攻击 抽个时间写一下吧

31#

Black Angel | 2014-07-12 15:04

apt

32#

齐迹 (换一个容易记住的头像@VIP @nauscript) | 2014-07-12 16:17

@核攻击 求姿势!

33#

齐迹 (换一个容易记住的头像@VIP @nauscript) | 2014-07-12 16:23

让回复 serivce@sevrice.cn.com 这个邮箱什么情况?求破!

34#

马丁 (我快要饿死了!!!!) | 2014-07-13 09:51

@核攻击 核老板 有空写下吧

35#

noob | 2014-07-14 10:16

@核攻击 求姿势

36#

M0nster | 2014-07-14 11:42

我们公司也收到了

37#

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-07-14 12:03

@核攻击 求爆料


最新回复 (0)
返回
发新帖