Linux heap 学习(上)

2018-09-14 10:10:14 合天網安實驗室

title: Linux heap 学习

tags: Heap,pwn,linux

grammar_cjkRuby: true

利用周末的时间,系统的学习了linux 系统的glibc堆分配机制,从中了解了很多以前很模糊的东西。本文打算系统的讲解一下关于堆的分配和使用机制,同时思考可能存在的一些攻击方法。

0x01 Linux 堆概述

在程序运行过程中,动态的进行内存分配。是在内存中的一段连续的空间,由低地址向高地址增长。由堆管理其负责调用分配。

0x1 实现库

目前实现堆管理的库有很多

dlmalloc – General purpose allocator

ptmalloc2 – glibc

jemalloc – FreeBSD and Firefox

tcmalloc – Google

libumem – Solaris

主要介绍ptmalloc2 – glibc,ptmalloc2 主要是通过 malloc/free 函数来分配和释放内存块。

0x2 分配函数

堆内存的分配函数是malloc(n)

1.当 n=0 时,返回当前系统允许的堆的最小内存块。

2.当 n 为负数时,由于在大多数系统上,size_t 是无符号数(这一点非常重要),所以程序就会申请很大的内存空间,但通常来说都会崩溃,因为系统没有那么多的内存可以分配。

malloc是用户层使用的函数,真正分配内存的是系统调用函数 (s)brk 函数以及 mmap, munmap 函数。


Linux heap 学习(上)


在一开始创建堆的时候使用brk函数,直接在数据段的后面申请一段空间(称为arena)


Linux heap 学习(上)


堆扩展那么当arena空间不够时系统怎么处理?

malloc采取的机制是

1.当调用malloc函数,arena空间不够时,如果申请的大小<128KB(0x20000字节) 直接使用brk分配机制,也就是说直接拓展arena

2.前提一样,如果申请的空间>= 128KB时,直接使用mmap分配机制

测试程序针对第一种情况

#include
 

#include
 

#include
 

#include
 

#include
 
 

int
 main() {
 
char
* addr;
 printf(
"Welcome to per thread arena example::%d\n"
,getpid());
 addr = (
char
*) malloc(
1000
);
 getchar();
 addr = (
char
*) malloc(
0x20000
);
 getchar();
 addr = (
char
*) malloc(
0x10000
);
 getchar();
 addr = (
char
*) malloc(
0x10000
);
 getchar();
 free(addr);
 
return
 
0
;
}


Linux heap 学习(上)


针对第二种情况,测试脚本

#include
 

#include
 

#include
 

#include
 
 

#include
 

int
 main() {
 
pthread_t
 t1;
 
void
* s;
 
int
 ret;
 
char
* addr;
 printf(
"Welcome to per thread arena example::%d\n"
,getpid());
 addr = (
char
*) malloc(
1000
);
 getchar();
 
// addr = (char*) malloc(0x40000);
 
// addr = (char*) malloc(0x40000);
 addr = (
char
*) malloc(
0x10000
);
 getchar();
 addr = (
char
*) malloc(
0x10000
);
 getchar();
 addr = (
char
*) malloc(
0x20000
);
 getchar(); 

 free(addr);
 
return
 
0
;
}


Linux heap 学习(上)


0x3 释放函数

堆内存释放函数是free(p),其中p是堆指针,指向的是data部分(不加上head头部)

1.当 p 为空指针时,函数不执行任何操作。

2.当 p 已经被释放之后,再次释放会出现乱七八糟的效果,这其实就是 double free。

除了被禁用 (mallopt) 的情况下,当释放很大的内存空间时,程序会将这些内存空间还给系统,以便于减小程序所使用的内存空间。

在执行释放函数时,会检查该块的前一块是否是空块,如果是将会进行堆块的合并。

0x02 Heap 分配机制

在程序使用堆的时候会调用malloc去申请内存空间,返回的是一个堆块指针,指向堆结构体,当它被释放时会被插入相对应的空闲结块链表。

0x1 堆块结构

堆块结构是一个结构体,具体内容如下

/*
 This struct declaration is misleading (but accurate and necessary).
 It declares a "view" into memory allowing access to necessary
 fields at known offsets from a given base. See explanation below. 

*/
struct
 malloc_chunk {
 INTERNAL_SIZE_T prev_size; 
/* Size of previous chunk (if free). */
 INTERNAL_SIZE_T size; 
/* Size in bytes, including overhead. */
 
struct
 malloc_chunk* fd; 
/* double links -- used only if free. */
 
struct
 malloc_chunk* bk;
 
/* Only used for large blocks: pointer to next larger size. */
 
struct
 malloc_chunk* fd_nextsize; 
/* double links -- used only if free. */
 
struct
 malloc_chunk* bk_nextsize;
};

在size的底三位记录了当前的堆块状态和上一个内存地址相邻的堆块的使用状态参数解释


  • prevsize
  • 记录上一个堆块(这里指的是内存地址相邻的堆块,而不是链表中的相邻)的大小,当本块的p位(记录上一堆块的使用状态)为1时,prevsize属于上一个堆块,进行内存赋值等操作。反之则表示上一堆块的大小
  • size
  • 记录本块大小,该 chunk 的大小,大小必须是 2 * SIZE_SZ 的整数倍。包括header在内的堆块大小,第三位分别为N、M、P
  • P
  • PREV_INUSE,表示前一个chunk是否为allocated
  • M
  • IS_MAPPED,表示当前chunk是否是通过mmap系统调用产生的
  • N
  • NONMAINARENA,表示当前chunk是否是thread arena
  • FD
  • 指向链表中前一个堆块的指针,该指针指向的是chunk的head
  • BK
  • 指向链表中后一个堆块的指针,该指针也是指向chunk的head,通过 fd 和 bk 可以将空闲的 chunk 块加入到空闲的 chunk 块链表进行统一管理
  • FD_nextsize
  • 指向前一个与当前 chunk 大小不同的第一个空闲块,不包含 bin 的头指针。
  • BK_nextsize
  • 指向后一个与当前 chunk 大小不同的第一个空闲块,不包含 bin 的头指针。一般空闲的 large chunk 在 fd 的遍历顺序中,按照由大到小的顺序排列。这样做可以避免在寻找合适chunk 时挨个遍历。


Linux heap 学习(上)


Linux heap 学习(上)


内存对齐堆块申请的时候不一定都是内存对齐的,比如在x86操作系统下申请0x95。那么堆的对齐方式又是如何呢?

经过实验发现如下规律

机器类型对齐位数x868bytex6416byte

同时通过输出size_t,为堆块中的基本单位

机器类型基本单元x864bytex648byte

分配大小计算

在进行内存申请的时候有许多计算规则,如果想要数量掌握堆的管理机制以及利用方法,那么就必须了解堆块是如何分配其大小的。

首先提几个概念,内存复用、地址对齐。内存复用体现在下一块的prevsize,复用的内存不算在chunk大小上。在计算是首先 size mod2*size_t剩余的数据与sizet进行比较,如果小则直接分配,如果大则直接增加 2*size_t以一个例子为例: malloc(0x43)

  • 在x86环境下 对齐单元为0x8还剩下0x3字节数据,可以利用复用的内存进行扩充。加上头部8字节,一共分配了0x48字节chunk

malloc(0x45)

  • 在x86环境下对齐之后还剩0x5字节数据,复用还不行,那么直接增加0x8个字节,一共分配0x50字节chunk

举一个0x64的例子 malloc(0x45)

  • 对齐之后还有0x5字节,可以采取复用,最后大小为0x50

malloc(0x49)

  • 对齐之后,不可以采取复用,最后大小为0x60

最后补充一点,每一个chunk都要有data段,所以不能只用头和复用段。

bin

当用户释放chunk后,chunk并不会立即回到系统中去,而是有ptmalloc统一进行管理,当再有内存空间申请的请求时,ptmalloc分配器会在空闲的chunk中挑一块给用户。那么维护空闲chunk的结构是链表形式,主要有四种fast bins,small bins,large bins,unsorted bin。在下面的介绍中将一一讲述。

bin的链表中的指针指向的是head头部,并非是数据部分,这点应该格外注意。

0x2 Fast bin

防止经常使用的较小的堆块被合并,降低堆的利用效率。

fastbin总共有10个链表,不同位数操作系统的堆块大小不同

索引x86x6400x200x1010x300x1820x400x2030x500x2840x600x3050x700x3860x800x40


Linux heap 学习(上)


Linux heap 学习(上)


需要注意的几点

  • Fastbin的free chunk中p标志位是一直为1的也就是说,fastbin的空闲块总是标识被占用。也是防止被其他块进行合并
  • Fastbin 链表是单链表,方便操作


Linux heap 学习(上)


Linux heap 学习(上)


利用fd执行后面的指针

0x3 Small bin

小于512字节的chunk称之为small chunk,small bin就是用于管理small chunk的。采用FIFO的算法


Linux heap 学习(上)


需要注意几点

  • smallbin个数是62个参照上图
  • 维护的是双向链表
  • 当相邻的两个堆块都是free状态时,会发生合并现象
  • 与fastbin的大小相冲突,大小冲突的smallbin还会收录堆块吗?答案是会的,不是一次申请的fastbin大小堆块被释放,就有可能放入smallbin里面
  • smallbin的来源是?smallbin的来源是unsortedbin,具体会在unsortedbin中讲解

0x4 Lager bin

large bins 中一共包括 63 个 bin,每个 bin 中的 chunk 的大小不一致,而是处于一定区间范围内。此外,这 63 个 bin 被分成了 6 组,每组 bin 中的 chunk 大小之间的公差一致,具体如下:


Linux heap 学习(上)


需要注意几点

  • 合并同smallbin
  • 同一个largebin其chunk大小有可能不一样,处于某一范围之内(例如第一个为521~575之间)。在同一个largebin里面chunk的大小是按照从大到小的顺序排放的
  • 在横向也有链表相连接如下图
  • malloc时,首先确定大小属于哪个largebin。然后将剩余的chunk丢到unsortedbin中,等待分配。


Linux heap 学习(上)


0x5 Unsorted bin

unsorted bin 位于 bin[1],当释放较小或较大的chunk的时候,如果系统没有将它们添加到对应的bins中,主要来源如下

1.当一个较大的 chunk 被分割成两半后,如果剩下的部分大于MINSIZE,就会被放到 unsorted bin 中。

2.释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。关于 top chunk 的解释,请参考下面的介绍。

3.当申请的内存被释放时除了fastbin大小的chunk直接插入链表中外,其他的chunk都被放在unsorted bin里面待分配。

4.unsorted chunk的删除并不使用 unlink ,使用的是下面方法,因此只是改变了chunk的bk块的前项指针,在malloc操作时最后访问的unsorted ,如果没有合适的大小就一个一个的删除,添加到其他链表中,所以这时如果伪造了chunk的bk值,很容易引起崩溃

victim = unsortedchunks(av)->bk // victim为free掉的p

bck = victim->bk; // bck 为 任意地址 -0x10

unsortedchunks(av)->bk = bck; // 调整链表

bck->fd = unsorted_chunks(av); // 任意地址 -0x10 + 0x10 = unsortedbin

0x6 Top chunk

对于非主分配区会预先从 mmap 区域分配一块较大的空闲内存模拟 sub-heap,通过管 理 sub-heap 来响应用户的需求,因为内存是按地址从低向高进行分配的,在空闲内存的最 高处,必然存在着一块空闲 chunk,叫做 top chunk.当 bins 和 fast bins 都不能满足分配需 要的时候,ptmalloc 会设法在 top chunk 中分出一块内存给用户,如果 top chunk 本身不够大, 分配程序会重新分配一个 sub-heap,并将 top chunk 迁移到新的 sub-heap 上, 新的 sub-heap 与已有的 sub-heap 用单向链表连接起来,然后在新的 top chunk 上分配所需的内存以满足分配的需要,实际上,top chunk 在分配时总是在 fast bins 和 bins 之后被考虑,所以,不论 top chunk 有多大,它都不会被放到 fast bins 或者是 bins 中. top chunk 的大小是随着分配和回 收不停变换的,如果从 top chunk 分配内存会导致 top chunk 减小,如果回收的 chunk 恰好 与 top chunk 相邻,那么这两个 chunk 就会合并成新的 top chunk,从而使 top chunk 变大. 如果在 free 时回收的内存大于某个阈值,并且 top chunk 的大小也超过了收缩阈值,ptmalloc 会收缩 sub-heap,如果 top-chunk 包含了整个 sub-heap,ptmalloc 会调用 munmap 把整个 sub-heap 的内存返回给操作系统.

0x7 Last remainder

Last remainder 是另外一种特殊的 chunk,就像 top chunk 和 mmaped chunk 一样,不会 在任何 bins 中找到这种 chunk.当需要分配一个 small chunk, 但在 small bins 中找不到合适 的 chunk, 如果 last remainder chunk 的大小大于所需的 small chunk 大小,last remainder chunk 被分裂成两个 chunk, 其中一个 chunk 返回给用户, 另一个 chunk 变成新的 last remainder chuk.

0x8 保护机制

按照free与malloc分类

free

  1. free的检查主要是根据本chunk的size检测下一块的inuse位,查看是否有double free的情况发生
  2. 检查当前free的chunk是否与fastbin中的第一个chunk相同,相同则报错
  3. 根据当前的inuse以及后一块的后一块的inuse判断是否需要合并,如果需要合并则对在链表中的freebin进行unlink操作

malloc

  1. 从fastbin中取出chunk后,检查size是否属于fastbin
  2. 从smallbin中除去chunk后,检查victim->bk->fd == victim
  3. 从unsortbin取chunk时,要检查2*sizetsize
  4. 从 largebin取chunk时,切分后的chunk要加入unsortedbin,需要检查 unsortedbin的第一个chunk的bk是否指向unsortedbin
  5. 如果freebin中有合适大小的堆块那么执行unlink操作

unlink

  1. 当需要unlink一个堆块时首先检测大小是否等于后一块的prev_size
  2. 接着检查unlink的堆块是否在链表中

下面通过一些代码进行测试

free 会检查double free的情况

#include
 

#include
 

#include
 

#include
 

#include
 

int
 main(){
 
unsigned
 
long
 *q,*p,*point;
 p=malloc(
0x400 

);
 q=malloc(
0x500
);
 point = (
uint64_t
*)q - 
1
;
 *point = 
0x510
;
//this one should be 0x511 to prove p is used
 free(p); 
}

free 函数会检查unsorted chunk在链表中的情况

首先执行的是unlink,其次会对unsorted chunk在链表中的情况进行检查

#include
 

#include
 

#include
 

#include
 

#include
 

unsigned 

 
long
 *list;
int
 main(){
 
unsigned
 
long
 *q,*p,*x,*point;
 p=malloc(
0x80
);
 q=malloc(
0x100
);
 x=malloc(
1
);
 free(p);
 
// malloc(0x110); without it freebin will be unsortedbin
 list = (
unsigned
 
long
 *)p-
2
;
 point = (
unsigned
 
long
 *)p ;
//fd's addr
 
// *point = &list-3;
 *(point+
1
) = &list-
2
;
//canot change the bk's value cas it has pass the check
 free(q);
}


Linux heap 学习(上)


链表释放前会检查当前chunk size 与后一个chunk的prev_size

unlink 后向合并

#include
 

#include
 
 

#include
 

#include
 

#include
 

int
 main(){
 
unsigned
 
long
 *q,*p,*point;
 p=malloc(
0x80
);
 q=malloc(
0x90
);
 malloc(
1
);
 free(p);
 point = (
char
*)p - 
0x8
;
//addr of the chunk size
 *point = 
0x510
;
//fake size make that size != next_chunk(prev_size)
 free(q);
}

unlink 前向合并 

#include
 

#include
 

#include
 

#include
 

#include
 

int
 main(){
 
unsigned
 
long
 *q,*p,*x,*point;
 p=malloc(
0x80
);
 q=malloc(
0x90
);
 x=malloc(
1
);
 free(q);
 point = (
char
*)x - 
0x10
;
//addr of the chunk size
 *point = 
0x110
;
//fake size make that size != next_chunk(prev_size) . The value should be 0xa0
 free(p);
}

unlink会检查chunk是否在链表里

free 中的unlink执行双链表检测

前项合并

#include
 

#include
 

#include
 

#include
 

#include
 

unsigned
 
long
 *list;
int
 main(){
 
unsigned
 
long
 *q,*p,*x,*point;
 p=malloc(
0x80
);
 q=malloc( 

0x100
);
 x=malloc(
1
);
 free(q);
 malloc(
0x110
);
//to be come smallbins
 list = (
unsigned
 
long
 *)q-
2
;
 point = (
unsigned
 
long
 *)q ;
//fd's addr
 *point = &list;
//delete this line open two lines after it
 
// *point = &list-3;
 
// *(point+1) = &list-2;
 free(p);
}

后向合并

#include
 

#include
 

#include
  


#include
 

#include
 

unsigned
 
long
 *list;
int
 main(){
 
unsigned
 
long
 *q,*p,*x,*point;
 p=malloc(
0x80
);
 q=malloc(
0x100
);
 x=malloc(
1
);
 free(p);
 malloc(
0x110
);
//to be come smallbins
 list = (
unsigned
 
long
 *)p-
2
;
 point = (
unsigned
 
long
 *)p ;
//fd's addr
 *point = &list;
//delete this line open two lines after it 

 
// *point = &list-3;
 
// *(point+1) = &list-2;
 free(q);
}

malloc时unsortedbin 不执行unlink

malloc函数会首先搜索smallbin和largebin,当有空闲的unsortedbin时,再搜索unsortedbin,方法是从unsorted的首块开始进行链表的清空(只有malloc会这样拆卸unsorted表)。所以可以用作unsorted attack

#include
 

#include
 

int
 main(){
 
unsigned
 
long
 stack_var1=
1
;
 
unsigned
 
long
 stack_var2=
2
;
 
unsigned
 
long 

 *q,*p=malloc(
400
);
 q=malloc(
500
);
 free(p);
 
//------------VULNERABILITY-----------
 p[
1
]=(
unsigned
 
long
)(&stack_var1-
2
);
 p[
0
] = (
unsigned
 
long
)(q);
 
//------------------------------------
 malloc(
400
);
//this option will check fastbin smallbin ,the last one is unsorted bin .if not find fit chunk in unsorted bin it will make the chunk into small or large bin list,if malloc != 400 it will crash
 fprintf(stderr, 
"%p: %p\n"
, &stack_var1, (
void
*)stack_var1);
 fprintf(stderr, 
"%p: %p\n"
, &stack_var2, (
void
*)stack_var2);
}


Linux heap 学习(上)


malloc时smallbin不执行unlink操作

#include
 

#include
 

long
 
long
 
int
 *x;
int
 main(){ 

 
unsigned
 
long
 stack_var1=
1
;
 
unsigned
 
long
 stack_var2=
2
;
 
unsigned
 
long
 *q,*p=malloc(
400
);
 q=malloc(
500
);
 x = p-
2
;
 free(p);
 malloc(
0x400
);
 
//------------VULNERABILITY-----------
 p[
0
] = (
unsigned
 
long
)(&x-
1
);
//this one is Unlimited
 p[
1
] = (
unsigned
 
long
)(&x- 

2
);
 
//-------------------------------------------
 malloc(
400
);
//this option will check fastbin smallbin ,the last one is unsorted bin .if not find fit chunk in unsorted bin it will make the chunk into small or large bin list
 fprintf(stderr, 
"%p: %p\n"
, &stack_var1, (
void
*)stack_var1);
 fprintf(stderr, 
"%p: %p\n"
, &stack_var2, (
void
*)stack_var2);
}


Linux heap 学习(上)


总结

具体的总结如下,终于可以好好的总结一下了。1.freefree 操作里面会有子操作unlink,unlink(会进行双向链表检测,检测过后就是赋值操作)。

如果是smallbin chunk直接进行unlink检测

如果是unsorted chunk还需要对其进行unsorted检测

之后会有一个对于链表的操作


Linux heap 学习(上)


2.mallocmalloc里面是不执行unlink操作的,对于smallbin只会检测 p->bk-fd==p对于unsortedbin 不会进行检测,所以会造成unsorted attack攻击

3.all最后就是每次在free list中卸掉链表都需要对所拆链表的size和下一块的prev_size进行比较。这一点不论是free还是malloc都遵循。

未完待续......

Linux heap 学习(上)

分享到:

閱讀更多 合天網安實驗室 的文章

關鍵字: FreeBSD Google Solaris

相關文章:

Linux:页表中PGD、PUD、PMD等概念介绍

Linux FAT 文件系统预读缺陷,补丁提升 7 倍性能

Linux 下epoll 网络模型 为什么需要epoll?

Windows 支持直接访问 Linux 子系统文件:你的下一台 Linux 何必是 Linux

体验 DebianDog:Puppy 式的 Debian Linux

Linux 最常用命令:简单易学

kali Linux 笔记

2020 Kali linux root权限修正版

Linux 用户登录记录

Linux 内核到底长啥样?

如何在 Linux 中更改 MAC 地址

linux 查看机器cpu核数

一文看懂如何使用 Linux seq 命令生成数字序列

Linux 系统查看服务器SN序列号以及服务器型号

免费在线试用 200+ Linux 和 Unix 操作系统

03.07 Linux 下进入文件,提示没有那个文件或者目录问题

玩转 Linux,掌握这些 Linux 命令就够了

03.04 玩转 Linux,掌握这些 Linux 命令就够了

03.01 Linux 常见高危操作

02.27 Linux 守护进程创建原理及简易方法

Kali-Linux-2020.1 安装/Live USB启动盘制作

树莓派 Linux 操作系统大全

02.22 玩转 Linux,掌握这些 Linux 命令就够了

「LINUX」干货:文件批量转换为UTF8编码-enca

linux poll机制

优麒麟UKUI桌面环境登陆Arch Linux

比 Deepin Linux 更好的 Linux 发行版

「Linux」 Centos7系统介绍与安装

01.28 为什么说 Manjaro Linux 是最好用的 Linux

「重要」Kali Linux 使用风险提示

12.17 「重要」Kali Linux 使用风险提示

Linux Kernel 5.5 最终删除 SYSCTL 系统调用

发行版介绍-Oracle Linux

全面介绍 Linux 权限

Linux 系统调用 API 之文件 I

linux C GDB 调试技巧

如何升级 Linux Mint 19.1 为 Linux Mint 19.2

Linux 学习笔记之,特殊权限 SUIG、SGID、SBIT

linux 课程学习第三天

02.02 监控 Linux 服务器活动的几个命令

理解 Linux 网络栈:Linux 网络协议栈简单总结

「Linux」使用tc命令增加网络延时

09.10 介绍 Linux 中的管道和命名管道

Linux 虚拟机与 Linux Live 镜像

Oracle Linux 系统如何去注册使用坚不可摧 Linux 网络(ULN)

04.23 Linux 文件与目录管理常用命令

03.26 linux-netstat已经过时,你该用ss了!

刚刚工作的毕业生,一个月只有2000多,是不是太少了?

刚刚工作的毕业生,一个月只有2000多,是不是太少了?

刚刚:刚刚工作的毕业生,一个月只有2000多,是不是太少了? 根据你城市消费水平来看啊,还有你从事的工作,假如你在二三线城市做一份事业单位或者是编制类的工作,薪资水平是随着你工作年限逐年增长的,而且在年终也有很多福利补贴待遇等等,算下来收入也是可观的,再举一个例:-毕业生 2000

为什么只有edg赚钱?

为什么只有edg赚钱?

电竞行业作为一个新兴产业,这几年发展势头越来越好,IG战队,FPX战队先后夺得了s8-s9世界赛的冠军,据俱乐部知情人士透露,除了国内的几家豪门俱乐部之外,其他俱乐部基本都是亏钱在做的,当然EDG也是:-edg 赚钱:为什么只有edg赚钱?

网上罗马仕充电宝20000毫安的,参数怎么很多样?哪个是真的?

网上罗马仕充电宝20000毫安的,参数怎么很多样?哪个是真的?

20000:网上罗马仕充电宝20000毫安的,参数怎么很多样?哪个是真的? 天猫旗舰店,或者淘宝旗舰店,或者京东旗舰店肯定包真,质量好,再说可以官方验证啊,不能图那十块五块的便宜,毕竟一个充电宝要用好久呢,一两年没问题的。:-罗马仕 马仕 毫安

我们买的新商品房还没有拿到房产证,怎么转卖最好?

我们买的新商品房还没有拿到房产证,怎么转卖最好?

没有取得房抄产证的房子可以转让。但如果确定无法取得房产证的,房产转让不受法律保袭护。一般情况下,只有取得房产证的房屋才能确定房屋产权人,才具有转让的条件。但如果房屋是合法取得的,以百后可以依法办理度房:-转卖 房产证 商品房 拿到:我们买的新商品房还没有拿到房产证,怎么转卖最好?

为什么突厥人可以成功复国?是大唐的刀不锋利了么?

为什么突厥人可以成功复国?是大唐的刀不锋利了么?

锋利 突厥人 你这样说只能说明你对历史非常不了解,我先用一句话概括突厥被大唐雄兵打的有多惨:三次灭国,背井离乡,远赴西亚,打不过,俺躲着你还不行吗?突厥的意思是中间怂起的头盔。其来历已经不可靠,可能有着匈奴、鲜卑或:-复国 大唐:为什么突厥人可以成功复国?是大唐的刀不锋利了么?

小高层16层高楼间距60米哪一层比较好?

小高层16层高楼间距60米哪一层比较好?

小高层 60:小高层16层高楼间距60米哪一层比较好? 首先需要明白,选择层数居住与楼间距毫无关系,住在哪一层,肉眼看对面楼的距离,是相差不大的。设定楼间距60米,纯粹是混淆视听。其实,一幢楼的楼层总数确定的情况下,到底哪一层最佳?很简单,取总层数乘以黄金:-楼间距 层高

金银花盆栽好养吗?怎么养?

金银花盆栽好养吗?怎么养?

金银花可以盆栽,很好养的!金银花,是忍冬科的常绿缠绕灌木,枝条柔韧修长,多攀爬或匍匐生长。金银花生性强健,在我国的很多南方省份野外很多地区都能看到它的身影,叶子常年翠绿,到夏季开花,飘香四溢。所以,有:-金银花 盆栽:金银花盆栽好养吗?怎么养?

长城对于抵御古代匈奴和蒙古人起到了多大作用?

长城对于抵御古代匈奴和蒙古人起到了多大作用?

长城真的无用吗?在今天许多人认为长城无用,古代国家举国之力建造的长城不过只是文物,就连康熙都曾作诗讽刺,原文如下:万里经营到海涯,纷纷调发逐浮夸。当时用尽生民力,天下何曾属尔家。-康熙但真的如此吗?小:-匈奴 抵御 长城:长城对于抵御古代匈奴和蒙古人起到了多大作用? 蒙古人

什么树可以嫁接腊梅?

什么树可以嫁接腊梅?

腊梅只能嫁接在不同品种的腊梅上,其他的树种不行!腊梅的繁殖可以用播种,压条,嫁接,分株等繁殖方法。播种法因不易保持花卉的原有优良特性,且播种的优点是在于大量繁殖,而腊梅大都只需培植少量几株,故一般都不:-腊梅 嫁接:什么树可以嫁接腊梅?

行情堪忧,还有多少教育机构的老师们五一假期有课上的?课时量多不多?

行情堪忧,还有多少教育机构的老师们五一假期有课上的?课时量多不多?

堪忧 五一 假期:行情堪忧,还有多少教育机构的老师们五一假期有课上的?课时量多不多? 事实上,因为教育培训都是预收费用的模式。但凡有一点点规模的培训机构老师。在上半年,带课量是可以得到保证。:-课时量

在农村“立夏节”都有哪些民间习俗?

在农村“立夏节”都有哪些民间习俗?

民间习俗 农村:在农村“立夏节”都有哪些民间习俗? 在农村“立夏节”都有哪些民间习俗一、农村立夏常见的习俗风俗活动:1、吃鸡蛋“立夏吃蛋”习俗由来已久,俗话说“立夏吃了蛋,夏天不疰夏”。据说立夏开始天气越来越热,村里小孩儿会有身体疲劳四肢无力的感觉,吃:-立夏节

男朋友失望分手,但对我还有感觉,答应我两个月之后可以在一起,我应该怎么做,才能改变之前他对我的看法?

失望 分手 看法:男朋友失望分手,但对我还有感觉,答应我两个月之后可以在一起,我应该怎么做,才能改变之前他对我的看法? 你的这个问题特别的有趣,我觉得你先不要看你要怎么做才让他才能让他对你的印象有所改变,你要去看为什么是两个月之后可以在一起,这两个月他会用来做什么,为什么会有这两个月?例如他的身体碰到了什么样的问题吗?:-答应我

工程分包乙方人员伤残谁承担?

承担:工程分包乙方人员伤残谁承担? 分包 乙方分包致人伤残责任谁承担?严格来说,需要了解更多伤残原因才能区分的,作为非专业人士,自己发表一点浅见供题主参考:1、如果甲方是央企的话,他们合同中的责任、义务等条款内已经将自己的责任全部撇开了,更会:-乙方 伤残

有哪些看起来毫不相关的两个历史人物实际上有过联系?

有哪些看起来毫不相关的两个历史人物实际上有过联系?

实际上:有哪些看起来毫不相关的两个历史人物实际上有过联系? 历史人物 联系这个词貌似太宽泛了,就好像有一个调皮的答案说的,胡亥和溥仪相隔2000多年,牵强的找,也有联系:都是亡国之君不是。我想题主的意思是两个看起来应该风马牛不相及的人物,在历史上居然是熟悉或是一个时代的:-毫不相关

13年雪铁龙世嘉自动挡7万多公里,没有水泡事故,多少钱能买?

法系车不保值,如果准备常开可以入手,性价比高,价格应该在二至三万之间,二手车一车一况,一况一价,居体价格看车况。:-钱能 水泡:13年雪铁龙世嘉自动挡7万多公里,没有水泡事故,多少钱能买? 世嘉 自动挡

22+吃土少女17年就有驾驶证了,今年才开始开车,想买个二手昂克赛拉,或者有什么好建议吗?

22+吃土少女17年就有驾驶证了,今年才开始开车,想买个二手昂克赛拉,或者有什么好建议吗?

17年 驾驶证 二手:22+吃土少女17年就有驾驶证了,今年才开始开车,想买个二手昂克赛拉,或者有什么好建议吗? 建议买日系二手车,开顺了卖了,买新车,昂克赛拉无法再次出手时获得好价格,而且也不省油,开完日系车直接换德系:-昂克赛拉

如何骑车去台湾骑行?

如何骑车去台湾骑行?

骑车 在台湾没有回归内地前,最好不要去台湾,一是国内政策不允许你去台湾,因为已停止了台湾个人游。二是你偷着去台湾旅游,安全没有保障,偷渡客在哪里也没有安全保障的。以后内地政策允许个人去台湾旅游了,建议那时再:-骑行 台湾:如何骑车去台湾骑行?

本人预算5万左右,想买一辆二手法系车!求推荐?

本人预算5万左右,想买一辆二手法系车!求推荐?

预算:本人预算5万左右,想买一辆二手法系车!求推荐? 5万 预算5万元左右,想买一辆二手法系车?推荐东风标致老款308车型。1 5万元可以买标致308车况好的,没大事故呢,年限15年左右,公里数3万左右,手动档车型。2 标致308车型,底盘调教扎实,跑高速稳定:-法系 二手

14年进口马自达5PK进口10年道奇酷威买哪个划算?

14年进口马自达5PK进口10年道奇酷威买哪个划算?

道奇 你好,好高兴回答你的问题!14年进口马自达5和10年月道奇酷威个人感觉马自达5比较划算。新车价马5报价29.99万,酷威19.38万两款车都是原装进口,马5属于日系,酷威属于美系。两款车不属于同类车型:-酷威 马自达 14年:14年进口马自达5PK进口10年道奇酷威买哪个划算?

2020年,河南教育行业国务院特殊津贴推荐,河南大学并列第三,大家怎么看?

2020年,河南教育行业国务院特殊津贴推荐,河南大学并列第三,大家怎么看?

特殊津贴 高校人才就要重视,河南省高校人才更要重视,这个人才不是评出了的,而是推荐出来的,没有推荐,连参评的资格都没有。国务院特殊津贴人员推荐,不推荐是百分百没希望,推荐了希望就非常,那么是什么是国务院特殊津贴:-河南大学 并列 2020年:2020年,河南教育行业国务院特殊津贴推荐,河南大学并列第三,大家怎么看?

本田CRV2019款1.5T舒适版油耗高吗?

本田CRV2019款1.5T舒适版油耗高吗?

李老猫说车为你非专业解答各种选车用车问题本田crv定位于一款紧凑级suv产品,主要对飚丰田荣放,日产奇骏,这款车整体市场表现非常突出,2019年全年累计销量为18.44万台,平均月销1.5万以上,其深:-舒适版 本田 油耗:本田CRV2019款1.5T舒适版油耗高吗?

国外疫情如果没有得到有效控制,世界会发生什么事情?头脑风暴?

1.世界经济遭到重创疫情影响之下,各行各业基本属于停工停产的状态,在世界经济趋于一体化的今天,停工停产势必会造成一系列的连锁反应,最后导致的结果可能会引发金融危机。2.世界格局可能发生改变美国仍是世界:-头脑风暴 控制:国外疫情如果没有得到有效控制,世界会发生什么事情?头脑风暴? 疫情 国外

本田XRV这款车的整体表现怎么样?我想买1.5T自动豪华版,全款多少钱?

本田XRV这款车的整体表现怎么样?我想买1.5T自动豪华版,全款多少钱?

如果有15万元的预算,让你选择一台空间和动力都很不错的小型SUV,我觉得很多的读者都会想到本田XRV这款车型。因为本田XRV确实太出色了,和同级别的其他盒子SUV车型相比,这款车在空间和动力上都有优势:-xrv 自动:本田XRV这款车的整体表现怎么样?我想买1.5T自动豪华版,全款多少钱? 本田 豪华版

现在存款有14万,借了5万还没收回来,该做什么好?

现在存款有14万,借了5万还没收回来,该做什么好?

何去何从:现在存款有14万,借了5万还没收回来,该做什么好? 续租 存款利息率较低,可以投资较高收益的项目,比如投资基金,一般情况下可获得6%一10%的回报。如果行情好可达到50%以上收益,去年不少基金超过这目标。目前受疫情影响,股市在低位震荡,也是基金投资的机会。一:-存款 2300

2070super和5700xt买哪个比较好?

2070super和5700xt买哪个比较好?

如果是玩游戏毫无疑问选择n卡,也就是2070 suep。如果追求性价比可以选择a卡,也就是5700xt. 为什么游戏选n卡呢?首先游戏厂商针对n卡优化比较多,然后就是功耗小,然后N卡架构执行效率极高,:-:2070super和5700xt买哪个比较好?

生完二胎后,感觉自己有点抑郁,总是想发火,特别烦躁,怎么办?

二胎 我是两个孩子的妈妈,曾经的我和你一样,生完宝宝我也抑郁了,我知道抑郁症真的很痛苦,产后的那段日子我整天都不开心,做什么事也没积极性,谁也不想搭理,别人给我说话我就觉得很烦。忍不住冲家人发脾气。每当一个:-生完 抑郁:生完二胎后,感觉自己有点抑郁,总是想发火,特别烦躁,怎么办? 发火

人这一生遇到的人和事为什么感觉都像是必然的经历?

人这一生遇到的人和事为什么感觉都像是必然的经历?

感觉:人这一生遇到的人和事为什么感觉都像是必然的经历? 正所谓有因必有果,所以你今天的因,就会产生明天的果。所以这一切你就会觉得是必然的。生活中大部分是普通人大家的生活规律,生活方式,大致相同。当你看到别人家庭的果,自己家也产生同样的果,你就会觉得这一切是:-人和 经历

现在校内校外到底教的是美式英语还是英式英语还是混搭英语?

现在校内校外到底教的是美式英语还是英式英语还是混搭英语?

校内:现在校内校外到底教的是美式英语还是英式英语还是混搭英语? 校外 英式 答案肯定是不唯一的!美式英语现在是主流,少量英式发音也个别存在!但对于孩子来说,肯定是混搭英语,因为孩子肯定不是一直一位老师教下去,肯定会换老师!而老师的发音肯定是既有英式的,也有美式的!就连一些英语:-美式英语

上有老下有小,我们真的跳不出这个人生循环了吗?

上有老下有小,我们真的跳不出这个人生循环了吗?

上有老 魔咒:上有老下有小,我们真的跳不出这个人生循环了吗? 的确如此,尽管现在不结婚,晚婚的人很多,但是从人类繁洐生息的历史和大多数人来看,成家立业,生儿育女,家庭仍是主流,一个人的生理,心理和生存需求決定了生存状态,生儿育女,瞻养父母即是义务责任,也是生活动:-下有小

如果外面正在下小雨,你会突然想起了谁?

如果外面正在下小雨,你会突然想起了谁?

想起:如果外面正在下小雨,你会突然想起了谁? 我最不忘,还是秋日的雨夜,天又凉了几分,已经需要披上一件薄薄的外套了。临窗而望,眼见窗台上的几株小植物,叶片上沾了几滴小雨珠,我总喜欢,用小手电去照它们,这样的小水滴看起来晶莹晶莹的,有一种清清凉凉的:-小雨

初中同学许久未见大学期间突然联系请吃饭,态度还良好,我给推了,会不会让人很烦?

初中同学许久未见大学期间突然联系请吃饭,态度还良好,我给推了,会不会让人很烦?

初中 同学:初中同学许久未见大学期间突然联系请吃饭,态度还良好,我给推了,会不会让人很烦? 吃饭 许久未见,意思就是交情不怎么样,无功不受禄,人家凭什么那么热情,难道真的是多年一来忘不了咱们之间的同学情谊,倍感想念了吗,不是请帮忙、做业务、就是借钱,十有八九十借钱。我建议还是不要去的好,大家都很忙:-许久未见

现在我觉得认真对某个人说我喜欢你什么的这种话好恶心,我爱你更说不出口,好恶心,是什么心理?

现在我觉得认真对某个人说我喜欢你什么的这种话好恶心,我爱你更说不出口,好恶心,是什么心理?

出口 心理:现在我觉得认真对某个人说我喜欢你什么的这种话好恶心,我爱你更说不出口,好恶心,是什么心理? 爱你 更多的是心里问题,可能对方还没有优秀到你满意的程度,更没有到那种离不开的地步!爱情最终还是要回归生活,而生活离不开两个人的相处,父母终究会老,孩子终究会飞,所以选择自己的伴侣尤为重要,你现在觉得恶心更:-喜欢你

剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢?

剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢?

再见王沥川 好看:剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢? 《遇见王沥川》吧,高以翔的王沥川太招人稀罕了。长相,身材,家世,人品,才能样样好,简直完美,挑不出任何毛病,实在要说一个缺点的话,那就是太tm完美,天妒英才、才让他饱受病魔折磨。偶像剧、深情帅气的男主:-何以笙箫默

计算机专业本科能够进入字节跳动、华为这些公司做开发吗?是否还需要继续读研?

计算机专业本科能够进入字节跳动、华为这些公司做开发吗?是否还需要继续读研?

学历是求职必备条件。有了工作不能停止对知识的探索。更高的学历,可以让你有更专业的技术能力和学习能力,可以让你拓展自己的交际圈,可以让你更知名。总之,活到老,学到老,学习对人总是有好处的,技多不压身嘛!:-字节 跳动:计算机专业本科能够进入字节跳动、华为这些公司做开发吗?是否还需要继续读研? 读研 计算机专业

生完二胎的你们,现在有什么感想?

生完二胎的你们,现在有什么感想?

二胎家庭日常是什么样的?是不是觉得家里多了一个小人儿,温馨多了?不存在的!生二胎根本是妈妈们的渡劫磨砺!以前周末睡到自然醒,现在全年无休,时刻警醒着,能睡一次懒觉跟过年似的,黑眼圈不说,头发呼啦啦地掉:-生完 二胎 感想:生完二胎的你们,现在有什么感想?

华北适合种植蚕豆吗?

华北适合种植蚕豆吗?

华北适合种植蚕豆,种蚕豆的面积大,在西北,华北,都在种植蚕豆,蚕豆茎秆根部有根瘤菌是种植其它农作物的好茬地,特别是土壤培养和防病虫害起到作用。:-蚕豆 种植 适合:华北适合种植蚕豆吗? 华北

华为手机更新EMUI10.1系统后效果咋样?

华为手机更新EMUI10.1系统后效果咋样?

大家知道现在智能手机的性能不仅仅跟智能手机的硬件有关,还跟智能手机的系统软件息息相关,在国产智能手机操作系统里,小米的MIUI系统跟华为的EMUI系统都是比较优秀的操作系统。最近小米推出了小米MIUI:-咋样 华为 华为手机 更新:华为手机更新EMUI10.1系统后效果咋样?

大热天蜜蜂老是爬到箱外结群正常吗?

大热天蜜蜂老是爬到箱外结群正常吗?

蜜蜂 爬到:大热天蜜蜂老是爬到箱外结群正常吗? 盗蜂现在正是夏季,很多地方蜜源稀少,蜂群中可能缺蜜,也是胡蜂猖獗的时间,所以蜂群中是非常容易发生盗蜂的。在蜂群中发生盗蜂的时候,蜂群守卫蜂会增多,但是这种情况引发的蜜蜂在蜂箱外一般不会结团,只是蜜蜂来:-大热天

辣椒正是生长最佳期,偏偏有的辣椒苗蔫,不是病虫害是咋回事?

辣椒正是生长最佳期,偏偏有的辣椒苗蔫,不是病虫害是咋回事?

最佳期 雾都山客来回答您的问题。最近山客家乡的村民正在进行辣椒移栽,确实有像题主提到的情形,辣椒苗移栽前长势葱葱,嫩绿喜人,但是移栽后几天内就出现萎蔫现象,细心观察也不是被病虫害危害。那究竟是什么原因导致辣椒:-苗蔫 辣椒 咋回事:辣椒正是生长最佳期,偏偏有的辣椒苗蔫,不是病虫害是咋回事?

手机相机发展的最终形态会是怎样的?

手机相机发展的最终形态会是怎样的?

最近这几年手机在电子产品行业里可谓是发展速度非常快,苹果和华为两大公司可以说也是,明争暗斗,产品一次比一次有卖点,前一段时间华为和苹果还都推出了手机新品,两家都在大力宣传强调着拍照功能,像iPhone:-形态 相机 手机 最终:手机相机发展的最终形态会是怎样的?

华为为什么不出一款5寸全面屏手机呢?我想应该会有很多人支持吧?

华为为什么不出一款5寸全面屏手机呢?我想应该会有很多人支持吧?

5寸 手机 支持:华为为什么不出一款5寸全面屏手机呢?我想应该会有很多人支持吧? 很高兴回答你的问题,刷头条刷出来的问题,看到很多人回答,感觉还有一些观点没有写出,所以我来回答一下。首先,华为为什么不出小尺寸全面屏手机?其实并不只有华为一家没有出小屏手机,放眼近期各大手机厂商发布的:-华为

生吃山芋,生吃胡萝卜,还有哪些蔬菜可以生吃呢?

生吃山芋,生吃胡萝卜,还有哪些蔬菜可以生吃呢?

胡萝卜 蔬菜:生吃山芋,生吃胡萝卜,还有哪些蔬菜可以生吃呢? 第一种,黄瓜。这个瓜,可不是菜市场中堆放满满的青瓜。各位可要睁大眼睛看清楚了,这个黄瓜,青中带黄,品种属以前乡下农户少量种植的,形态上面来看这种瓜矮、短、圆,表面覆盖有比较淡的细毛,经水轻轻冲洗之后整:-山芋

为什么马铃薯不宜过早过迟播种?

为什么马铃薯不宜过早过迟播种?

不宜:为什么马铃薯不宜过早过迟播种? 播种 过早 为什么马铃薯不宜过早过迟播种?马铃薯的种植主要是由于气候条件的限制,过早出苗后容易遇到低温被冻死,种植晚了容易遇到干旱和高温,影响产量。马铃薯种植时间的早晚必须根据种植地方的气候条件来确定。马铃薯生长:-马铃薯

疫情愈发严重,原油为何反而大涨?

原油 愈发:疫情愈发严重,原油为何反而大涨? 疫情愈发严重和原油大涨没有必然关系。但是资金总是从高处流向低处,原油价格跌的越多,投资价值越明显,相对于其他产业更有投资价值。举个例子:深圳南山房价均价大约6万左右,宝安均价5万左右,如果南山房价涨到:-疫情

生菜球很好吃,怎么种植才能高产呢?

生菜球很好吃,怎么种植才能高产呢?

种植:生菜球很好吃,怎么种植才能高产呢? 高产 对环境条件的要求、1.温度生菜球为喜冷凉、忌高温作物,种子在4度以上可发芽、以15~20度为发芽适温。幼苗能耐较低温度,日平均温度12度时生长壮健,叶球生长最适温度为13~16度。不过目前有些结球生菜:-生菜

装修高手来帮忙看下144平,套内122平,怎么三房改四房? ?

装修高手来帮忙看下144平,套内122平,怎么三房改四房? ?

看下 这个户型三房改四房,改一个小房间,应该没有问题。△原户型图这个户型改四房,能改的方案比较多,但是修改以后是否好用,是一件值得考虑的事情。一、主卧室变为两个卧室可以将主卧室改为两个卧室,但是这样的改动占:-房改 122:装修高手来帮忙看下144平,套内122平,怎么三房改四房? ? 144

大家帮忙看看这个房子如果要砸墙的话,怎么改比较好?

大家帮忙看看这个房子如果要砸墙的话,怎么改比较好?

房子:大家帮忙看看这个房子如果要砸墙的话,怎么改比较好? 这个户型砸墙,当然可以砸墙,但是在砸墙之前,要搞清楚为什么要砸墙,砸墙以后有什么优劣。△原户型原户型图上的白色墙体部分不是承重墙,理论上说否可以砸掉。但是外墙和与旁边户型或者是公共区域的共用墙体和图上:-帮忙

意蜂夏季喝什么水降温?

意蜂夏季喝什么水降温?

降温 意蜂夏季喝什么水降温?气温高,蜂巢温度高的情况下,蜜蜂是通过采水的办法挂在蜂箱的四壁来蒸发带走热量,降低蜂巢温度 同时也能帮助蜂群维持正常的湿度。在平常的情况下,蜜蜂是在室外采自然水的。夏季消耗的水量:-意蜂 夏季:意蜂夏季喝什么水降温?

黄瓜种子催芽后种植需要打底水吗?

黄瓜种子催芽后种植需要打底水吗?

黄瓜种子:黄瓜种子催芽后种植需要打底水吗? 你好很高兴回答这个问题。答案:不用。1-2天可出芽。黄瓜种子催芽:选用饱满的种子,用30℃水浸泡4小时后催芽。也可用100倍福尔马林溶液浸泡种子10-20分钟,洗净后清水浸种3-4小时,然后于25-3:-催芽 黄瓜 打底

书友们展示一下自我感觉发挥较好的作品,一起学习?

书友们展示一下自我感觉发挥较好的作品,一起学习?

自我 较好 这幅作品是参赛的,色彩的搭配,纸张的拼接都是自己设计完成的,一如既往的清新淡雅感觉。书体用的魏碑中楷书,增加了书写的趣味性。:-书友 展示:书友们展示一下自我感觉发挥较好的作品,一起学习?