渗透工程师是做什么的?
一般来说,渗透测试人员通常对网络、系统和基于 Web 的应用程序执行威胁建模、安全评估和道德黑客攻击,更具体些来说,保证验证涉及以下部分或全部任务:收集和分析开源情报 (OSINT) 以查找信息披露。提供专注于攻击性安全测试操作的主题专业知识,致力于测试组织中的防御机制。使用自动化工具和手动技术对各种技术和实现进行评估。开发脚本、工具和方法来增强测试过程。协助确定预期项目的范围,领导从初始阶段到实施和补救的项目。进行社会工程学练习和物理渗透测试。测试有线和无线网络的安全漏洞。检查评估结果以识别发现并在系统运行的环境中开发系统的整体分析视图。4确定技术和非技术发现的根本原因。发布一份评估报告,记录调查结果并确定潜在的对策。跟踪在多个评估中重复的发现并传达这些发现。完成评估后,交流所采用的方法、发现和分析。为 ISO 提供技术支持以修复评估结果。提供网络开发和规避技术方面的技术支持,以协助对受感染系统进行全面的事件处理和取证分析。
渗透工程师是一种利用模拟黑客攻击的方式,来评估计算机网络系统攻击步骤安全性能,评估计算机网络系统工作。渗透工程师要熟悉一下工作:攻击安全性能的方法。通常的黑客攻击包括预攻击、攻击和后攻击三个阶段;预攻击阶段主要指一些信息收集和漏洞扫描的过程;攻击过程主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵;后攻击是指在获得攻击目标的一定权限后,对权限的提升、后面安装和痕迹清除等后续工作。与黑客的攻击相比,渗透测试仅仅进行预攻击阶段的工作,并不对系统本身造成危害,即仅仅通过一些信息搜集手段来探查系统的弱口令、漏洞等脆弱性信息。为了进行渗透测试,通常需要一些专业工具进行信息收集。渗透测试工具种类繁多,涉及广泛,按照功能和攻击目标分为网络扫描工具、通用漏洞检测、应用漏洞检测三类。网络扫描工具网络扫描是渗透测试的第一步,其目的在于发现目标的操作系统类型、开放端口等基本信息,为后续的扫描工作做基础。事实上,利用操作系统本身的一些命令如ping、telnet、nslookup等也可以对目标的信息进行判断,但是利用专业的工具可以给出更加全面和准确的判断。NMapNMap 是Linux操作系统下的一款网络连接端扫描软件,其功能主要有三个:探测一组主机是否在线;扫描主机端口是否打开;判断目标操作系统。NMap的常用扫描方式有:》 TCP connect端口扫描:-sT参数》 端口扫描TCP同步:-sS参数》 端口扫描UDP:-sU参数》 Ping扫描:-sP参数SuperScanSuperScan是一款功能强大的端口扫描软件,其主要功能有:SuperScan1) 通过Ping来检验IP是否在线; 2) IP和域名相互转换; 3) 检验目标计算机提供的服务类别; 4) 检验一定范围目标计算机的是否在线和端口情况; 5) 工具自定义列表检验目标计算机是否在线和端口情况; 6) 自定义要检验的端口,并可以保存为端口列表文件; 7) 软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表.WiresharkWireshark是一个网络封包分析软件,其功能是借取流经本地网卡的有数据流量进而分Wireshark析。通常的应用包括:网络管理员用来解决网络问题、网络安全工程师用来检测安全隐患、开发人员用来测试协议执行情况、用来学习网络协议。 在渗透测试中,Wireshark通常被用于嗅探局域网内的数据传输格式,探查是否存在明文传输口令、数据传输风险等。图形界面的Wireshark使用十分便捷,选取监听的网卡之后,主界面中会显示所有的数据流量。双击任意条目,则可以根据协议的层次拆分该数据流。Wireshark内置了基本的网络协议,可以方便的查询包括但不局限于IP、TCP、UDP、HTTP、FTP、SMB等常见的协议内容。由于Wireshark借取的数据是所有流经网卡的数据,在实际应用中最重要的操作是通编写过滤器获得需要的数据流量。主界面中的Filter选项可以方便的进行过滤器的编辑,过滤包括源地址、目的地址、协议类型等配合各种逻辑运算符组成的表达式,从而根据需要快速的找到目标数据流量。通用漏洞检测在获取了目标主机的操作系统、开放端口等基本信息后,通常利用通用漏洞扫描工具检测目标系统所存在的漏洞和弱口令。通用漏洞主要指操作系统本身或者安装的应用软件所存在的漏洞,通常是指缓冲区漏洞,例如MS-8-67、oracle的漏洞。由于系统开启了135、139、445、1433、1521等应用程序端口,同时没有及时安装补丁,使得外来主机可以通过相应的端口发送恶意的请求从而获取不应当获得的系统权限。 在实际的应用中,如果防火墙做了良好的部署,则对外界展现的端口应该受到严格控制,相应的通用漏洞危害较小。但是如果没有在边界上进行良好的访问控制,则缓冲区溢出漏洞有着极其严重的威胁,会轻易被恶意用户利用获得服务器的最高权限。NessusNessus 是一款系统漏洞扫描与分析软件,采用B/S架构的Nessus方式安装,以网页的形式向用户展现。用户登录之后可以指定对本机或者其他可访问的服务器进行漏洞扫描。Nessus的扫描程序与漏洞库相互独立,因而可以方便的更新其漏洞库,同时提供多种插件的扩展和一种语言NASL(Nessus Attack Scripting Language)用来编写测试选项,极大的方便了漏洞数据的维护、更新。在进行扫描完成后,Nessus还可以生成详尽的用户报告,包括脆弱性、漏洞修补方法以及危害级别等,可以方便的进行后续加固工作。X-ScanX-Scan 是一款国产的漏洞扫描软件,完全免费,无需安装,X-Scan由国内著名民间黑客组织“安全焦点”完成。X-Scan的功能包括:开放服务、操作系统鉴别、应用系统弱口令、IIS编码漏洞、应用漏洞检测等。X-Scan通常被用来进行弱口令的检测,其提供的弱口令检测模块包含telnet、ftp、SQL-server、cvs、vnc、smtp、nntp、sock5、imap、pop3、rexec、NT-Server、ssh、www,采用字典攻击的方式,配合恰当的字典生成工具可以完成大部分常用应用软件的弱口令破解工作。X-Scan也提供漏洞检测脚本的加载方式,可以即时的更新扫描模块,同时也提供扫描结果报告功能。MetasploitMetasploit 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。事实上Metasploit提供的是一个通用的漏洞攻击框架,通过它可以方便的获取、开发针对漏洞的攻击。Metasploit将负载控制,编码器,无操作生成器和漏洞整合在一起,成为一种研究高危漏洞的途径,它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。 对于开发者来说,需要了解缓冲区溢出的原理、需要编写的漏洞详细情况、payload生成、注入点以及metasploit的漏洞编写规则。而对于普通的渗透测试人员,仅仅只需要安装metasploit,下载最新的漏洞库和shellcode,选择攻击目标,发送测试就可以完成漏洞检测工作。事实上,metasploit不仅提供漏洞检测,还可以进行实际的入侵工作。由于采用入侵脚本时可能对系统造成不可预估的效果,在进行渗透测试时应当仅仅使用测试功能。Acunetix Web Vulnerability ScannerAcunetix Web Vulnerability Scanner界面Acunetix Web Vulnerability Scanner是一个网站及服务器漏洞扫描软件,它包含有收费和免费两种版本。功能介绍:1、AcuSensor 技术2、自动的客户端脚本分析器,允许对 Ajax 和 Web 2. 应用程序进行安全性测试。3、业内最先进且深入的 SQL 注入和跨站脚本测试4、高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer5、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域6、支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制7、丰富的报告功能,包括 VISA PCI 依从性报告8、高速的多线程扫描器轻松检索成千上万个页面9、智能爬行程序检测 web 服务器类型和应用程序语言1、Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX11、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查 Web应用漏洞检测随着信息网络的发展,人们的信息安全意识日益提升,信息系统的安全防护措施也逐渐提高。通常在服务器的互联网边界处都会部署防火墙来隔离内外网络,仅仅将外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级,对于外部攻击者来说,就像关闭了所有无关的通路,仅仅留下一个必要入口。但是仍然有一类安全问题无法避免,就是web应用漏洞。 目前的大多数应用都是采用B/S模式,由于服务器需要向外界提供web应用,http服务是无法关闭的。web应用漏洞就是利用这个合法的通路,采用SQL注入、跨站脚本、表单破解等应用攻击方式来获取服务器的高级权限。在目前的网络环境下,威胁最大的漏洞形式就是web应用漏洞,通常是攻击者攻陷服务器的第一步。常见的漏洞包括SQL注入、跨站脚本攻击和编码漏洞等,表单破解主要是针对服务器用户的弱口令破解。从本质上来说,应用漏洞的形成原因是程序编写时没有对用户的输入字符进行严格的过滤,造成用户可以精心构造一个恶意字符串达到自己的目的。AppScanAppScan 是IBM公司出的一款Web应用安全测试工具,AppScan采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。溯雪溯雪是一款国产软件,主要的功能是进行表单破解。溯雪由于目前的应用多数采用B/S模式,登录窗口也都采用表单提交的方式,使得基于传统协议的暴力破解软件没有用武之地。针对此类应用,采用溯雪等基于表单的暴力破解软件可以很好的进行弱口令扫描。溯雪的工作原理是抽取目标网站中的表单元素,搜寻错误登录时的错误标志,然后采用字典填充其值并不断提交尝试获得正确的连接。PangolinPangolin是一款SQL注入测试工具,能够自动化的进行Pangolin注入漏洞的检测,从检测注入开始到最后控制目标系统都给出了测试步骤,是目前国内使用率最高的SQL注入测试软件。支持的数据库包括Access、DB2、Informix、Microsoft SQL Server 2、Microsoft SQL Server 25、Microsoft SQL Server 28、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase。
渗透工程师是一种利用模拟黑客攻击的方式,来评估计算机网络系统攻击步骤安全性能,评估计算机网络系统工作。渗透工程师要熟悉一下工作:攻击安全性能的方法。通常的黑客攻击包括预攻击、攻击和后攻击三个阶段;预攻击阶段主要指一些信息收集和漏洞扫描的过程;攻击过程主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵;后攻击是指在获得攻击目标的一定权限后,对权限的提升、后面安装和痕迹清除等后续工作。与黑客的攻击相比,渗透测试仅仅进行预攻击阶段的工作,并不对系统本身造成危害,即仅仅通过一些信息搜集手段来探查系统的弱口令、漏洞等脆弱性信息。为了进行渗透测试,通常需要一些专业工具进行信息收集。渗透测试工具种类繁多,涉及广泛,按照功能和攻击目标分为网络扫描工具、通用漏洞检测、应用漏洞检测三类。网络扫描工具网络扫描是渗透测试的第一步,其目的在于发现目标的操作系统类型、开放端口等基本信息,为后续的扫描工作做基础。事实上,利用操作系统本身的一些命令如ping、telnet、nslookup等也可以对目标的信息进行判断,但是利用专业的工具可以给出更加全面和准确的判断。NMapNMap 是Linux操作系统下的一款网络连接端扫描软件,其功能主要有三个:探测一组主机是否在线;扫描主机端口是否打开;判断目标操作系统。NMap的常用扫描方式有:》 TCP connect端口扫描:-sT参数》 端口扫描TCP同步:-sS参数》 端口扫描UDP:-sU参数》 Ping扫描:-sP参数SuperScanSuperScan是一款功能强大的端口扫描软件,其主要功能有:SuperScan1) 通过Ping来检验IP是否在线; 2) IP和域名相互转换; 3) 检验目标计算机提供的服务类别; 4) 检验一定范围目标计算机的是否在线和端口情况; 5) 工具自定义列表检验目标计算机是否在线和端口情况; 6) 自定义要检验的端口,并可以保存为端口列表文件; 7) 软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马;同时,我们也可以自己定义修改这个木马端口列表.WiresharkWireshark是一个网络封包分析软件,其功能是借取流经本地网卡的有数据流量进而分Wireshark析。通常的应用包括:网络管理员用来解决网络问题、网络安全工程师用来检测安全隐患、开发人员用来测试协议执行情况、用来学习网络协议。 在渗透测试中,Wireshark通常被用于嗅探局域网内的数据传输格式,探查是否存在明文传输口令、数据传输风险等。图形界面的Wireshark使用十分便捷,选取监听的网卡之后,主界面中会显示所有的数据流量。双击任意条目,则可以根据协议的层次拆分该数据流。Wireshark内置了基本的网络协议,可以方便的查询包括但不局限于IP、TCP、UDP、HTTP、FTP、SMB等常见的协议内容。由于Wireshark借取的数据是所有流经网卡的数据,在实际应用中最重要的操作是通编写过滤器获得需要的数据流量。主界面中的Filter选项可以方便的进行过滤器的编辑,过滤包括源地址、目的地址、协议类型等配合各种逻辑运算符组成的表达式,从而根据需要快速的找到目标数据流量。通用漏洞检测在获取了目标主机的操作系统、开放端口等基本信息后,通常利用通用漏洞扫描工具检测目标系统所存在的漏洞和弱口令。通用漏洞主要指操作系统本身或者安装的应用软件所存在的漏洞,通常是指缓冲区漏洞,例如MS-8-67、oracle的漏洞。由于系统开启了135、139、445、1433、1521等应用程序端口,同时没有及时安装补丁,使得外来主机可以通过相应的端口发送恶意的请求从而获取不应当获得的系统权限。 在实际的应用中,如果防火墙做了良好的部署,则对外界展现的端口应该受到严格控制,相应的通用漏洞危害较小。但是如果没有在边界上进行良好的访问控制,则缓冲区溢出漏洞有着极其严重的威胁,会轻易被恶意用户利用获得服务器的最高权限。NessusNessus 是一款系统漏洞扫描与分析软件,采用B/S架构的Nessus方式安装,以网页的形式向用户展现。用户登录之后可以指定对本机或者其他可访问的服务器进行漏洞扫描。Nessus的扫描程序与漏洞库相互独立,因而可以方便的更新其漏洞库,同时提供多种插件的扩展和一种语言NASL(Nessus Attack Scripting Language)用来编写测试选项,极大的方便了漏洞数据的维护、更新。在进行扫描完成后,Nessus还可以生成详尽的用户报告,包括脆弱性、漏洞修补方法以及危害级别等,可以方便的进行后续加固工作。X-ScanX-Scan 是一款国产的漏洞扫描软件,完全免费,无需安装,X-Scan由国内著名民间黑客组织“安全焦点”完成。X-Scan的功能包括:开放服务、操作系统鉴别、应用系统弱口令、IIS编码漏洞、应用漏洞检测等。X-Scan通常被用来进行弱口令的检测,其提供的弱口令检测模块包含telnet、ftp、SQL-server、cvs、vnc、smtp、nntp、sock5、imap、pop3、rexec、NT-Server、ssh、www,采用字典攻击的方式,配合恰当的字典生成工具可以完成大部分常用应用软件的弱口令破解工作。X-Scan也提供漏洞检测脚本的加载方式,可以即时的更新扫描模块,同时也提供扫描结果报告功能。MetasploitMetasploit 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。事实上Metasploit提供的是一个通用的漏洞攻击框架,通过它可以方便的获取、开发针对漏洞的攻击。Metasploit将负载控制,编码器,无操作生成器和漏洞整合在一起,成为一种研究高危漏洞的途径,它集成了各平台上常见的溢出漏洞和流行的 shellcode ,并且不断更新。 对于开发者来说,需要了解缓冲区溢出的原理、需要编写的漏洞详细情况、payload生成、注入点以及metasploit的漏洞编写规则。而对于普通的渗透测试人员,仅仅只需要安装metasploit,下载最新的漏洞库和shellcode,选择攻击目标,发送测试就可以完成漏洞检测工作。事实上,metasploit不仅提供漏洞检测,还可以进行实际的入侵工作。由于采用入侵脚本时可能对系统造成不可预估的效果,在进行渗透测试时应当仅仅使用测试功能。Acunetix Web Vulnerability ScannerAcunetix Web Vulnerability Scanner界面Acunetix Web Vulnerability Scanner是一个网站及服务器漏洞扫描软件,它包含有收费和免费两种版本。功能介绍:1、AcuSensor 技术2、自动的客户端脚本分析器,允许对 Ajax 和 Web 2. 应用程序进行安全性测试。3、业内最先进且深入的 SQL 注入和跨站脚本测试4、高级渗透测试工具,例如 HTTP Editor 和 HTTP Fuzzer5、可视化宏记录器帮助您轻松测试 web 表格和受密码保护的区域6、支持含有 CAPTHCA 的页面,单个开始指令和 Two Factor(双因素)验证机制7、丰富的报告功能,包括 VISA PCI 依从性报告8、高速的多线程扫描器轻松检索成千上万个页面9、智能爬行程序检测 web 服务器类型和应用程序语言1、Acunetix 检索并分析网站,包括 flash 内容、SOAP 和 AJAX11、端口扫描 web 服务器并对在服务器上运行的网络服务执行安全检查 Web应用漏洞检测随着信息网络的发展,人们的信息安全意识日益提升,信息系统的安全防护措施也逐渐提高。通常在服务器的互联网边界处都会部署防火墙来隔离内外网络,仅仅将外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级,对于外部攻击者来说,就像关闭了所有无关的通路,仅仅留下一个必要入口。但是仍然有一类安全问题无法避免,就是web应用漏洞。 目前的大多数应用都是采用B/S模式,由于服务器需要向外界提供web应用,http服务是无法关闭的。web应用漏洞就是利用这个合法的通路,采用SQL注入、跨站脚本、表单破解等应用攻击方式来获取服务器的高级权限。在目前的网络环境下,威胁最大的漏洞形式就是web应用漏洞,通常是攻击者攻陷服务器的第一步。常见的漏洞包括SQL注入、跨站脚本攻击和编码漏洞等,表单破解主要是针对服务器用户的弱口令破解。从本质上来说,应用漏洞的形成原因是程序编写时没有对用户的输入字符进行严格的过滤,造成用户可以精心构造一个恶意字符串达到自己的目的。AppScanAppScan 是IBM公司出的一款Web应用安全测试工具,AppScan采用黑盒测试的方式,可以扫描常见的web应用安全漏洞。其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。AppScan的缺点在于,作为一款商业软件,价格十分昂贵。溯雪溯雪是一款国产软件,主要的功能是进行表单破解。溯雪由于目前的应用多数采用B/S模式,登录窗口也都采用表单提交的方式,使得基于传统协议的暴力破解软件没有用武之地。针对此类应用,采用溯雪等基于表单的暴力破解软件可以很好的进行弱口令扫描。溯雪的工作原理是抽取目标网站中的表单元素,搜寻错误登录时的错误标志,然后采用字典填充其值并不断提交尝试获得正确的连接。PangolinPangolin是一款SQL注入测试工具,能够自动化的进行Pangolin注入漏洞的检测,从检测注入开始到最后控制目标系统都给出了测试步骤,是目前国内使用率最高的SQL注入测试软件。支持的数据库包括Access、DB2、Informix、Microsoft SQL Server 2、Microsoft SQL Server 25、Microsoft SQL Server 28、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase。
文章标签:
来自:渗透的意思
本文链接:https://www.u1e.cn/baike/a/628957892291b27f956ae92a [复制]
猜你喜欢
寂寂闻猿愁,行行见云收。——李白《寻高凤石门山中元丹丘》
家声中垒也称贤,喜气临门敞绮筵,双璧联辉夸美眷,六葭应节缔良缘;女如五彩云犹丽,郎却斯文德自妍,恐负嘉招先作贺,诗题汤饼约明年。
不图虚名,不慕奢华。
不管发生什么,你都不要放弃,肯定会有意想不到的风景。也许不是你本来想走的路,可是另一条路有另一条路的风景,不要念念不忘原来的路,在这里你会遇到难忘的更好的风景。
在遥远的城市,陌生的地方,有他未曾见过的山和海。
俗话说:一百种人有一百种命运,有的人可以一条路一直走到底,有的人却注定要曲曲折折,不过谁也不需要羡慕谁。最重要的是:我们迟早会遇上。
人总要找点事情做,让自己忙起来,忙起来才知道生活不易,才明白平时的忧伤都是矫情。
等一阵风,等一阵雨,等一个唯一的你。
你们给我挺住,都别吃,都那么肥了怎么还有脸吃。
如果不醒来,那么现实和梦境又有何分别。
天塌下来你顶着,我垫着!
最美的不是下雨天,是陪你一起躲过的屋檐。
南音少女
如果坚强的人落泪了,一定是撑不下去了。
您是一棵大树,春天倚着您幻想,夏天倚着你繁茂,秋天倚着您成熟,冬天倚着您沉思。亲爱的妈妈,感谢给予我的一切。
暗恋你,追你,我的本子满满写着你的名字。
得意时处之泰然,失意时处之淡然,才是人生的大智慧。
不必因昨天的眼泪、湿了今天的太阳。
你自由了,可不可以把我的快乐还我。
疾病是手段,健康是目的;疾病是道路,健康是目标。
歇后语大全
钻头上加钢针是什么意思?
丈母娘遇亲家母是什么意思?
张生回头望莺莺是什么意思?
站在草席上比高低是什么意思?
邮包上挂灯草是什么意思?
烟雾里赏花是什么意思?
袖短怪罪胳膊长是什么意思?
胸前害疮,背后流脓是什么意思?
下雨不戴帽子是什么意思?
捂着钱包捉贼是什么意思?
网里的鱼虾是什么意思?
王八盖上插蜡扦是什么意思?
头穿袜子脚戴帽是什么意思?
铁匠绣花是什么意思?
天井院里的瞎子是什么意思?
剃头刀裁纸是什么意思?
烧香碰倒菩萨是什么意思?
傻子看戏是什么意思?
扫帚的脾气是什么意思?
软刀子割头是什么意思?
荞麦皮打浆糊是什么意思?
牛眼看人是什么意思?
泥菩萨过河是什么意思?
面汤里煮皮球是什么意思?
麻雀入了瞎猫口是什么意思?
老太婆上台阶是什么意思?
两口子推磨是什么意思?
鲤鱼找鲤鱼,鲫鱼找鲫鱼是什么意思?
鲤鱼跳到鱼船上是什么意思?
狼窝里的羊是什么意思?
老母猪进粮仓是什么意思?
癞蛤蟆吹唢呐是什么意思?
拉开窗帘是什么意思?
鸡蛋喂老虎是什么意思?
葫芦瓢是什么意思?
河边垂钓是什么意思?
狗熊变黑瞎子是什么意思?
隔口袋买猫儿是什么意思?
斧大好砍树,针小能穿布是什么意思?
风吹落叶是什么意思?
粉条泡在滚水里是什么意思?
纺织厂的下脚料是什么意思?
房顶上种麦子是什么意思?
恶狼生个贼狐狸是什么意思?
堵八戒爬墙头是什么意思?
稻田里盖猪圈是什么意思?
船上打伞是什么意思?
唱戏的吹胡子是什么意思?
冰糖葫芦是什么意思?
半天云里拉家常是什么意思?
相关推荐
还没有人回应过