二进制安全之堆溢出（系列）——堆基础 & 结构（三）

2020-03-20 15:55:32 知了堂

二进制安全之堆溢出（系列）——“堆基础&结构”第三节

上回书说到_int_malloc小总结本次咱们从calloc讲起

calloc

calloc在动态分配完内存之后，自动初始化该内存空间为0，而malloc不初始化，里面数据是随机的垃圾数据

_int_free

判断是否在astbi的范围内

在就放入fastbin不在放入unsorted bin

当放入unsorted bin检查是否需要unlink

前向合并：向低地址合并后向合并：向高地址合并

满足以下条件才会free

检查当前的块的prev_inuse是否为0检查下个块的prev_insue是否为1检查下下个块的prev_insue是否为1此时发生前向合并如果下下个块的prev_insue为0，则会前向合并之后再后向合并

__libc_free

用于封装__int_free函数
主要包括三个部分

检查是否有__free_hook ,利用：__free_hook->sysem如果堆块是空则不进行操作mmap的堆块，使用ummap进行释放然后调用__int_free

__malloc_hook

<code>void *weak_variable (*__malloc_hook)  (size_t __size, const void *) = malloc_hook_ini;void weak_variable (*__free_hook) (void *__ptr,                                   const void *) = NULL;/<code>

malloc_hookl利用方法

1. 现在知道了system或一个shellcode的地址2. 要调这个shellcode的地址可以通过修改got表3. 在Partial RELRO保护机制下，无法写入got表4. 这时候可以修改__malloc_hook地址为one_gadget的地址，构造rop链，自5. 动调用shellcode，起一个bin/sh。
6. 对于__free_hook，可以将其直接修改为system的地址，最简单的就是传入7. 7. 一个"bin/sh"的指针，这样当free某个堆块的时候就会调用/bin/sh。8. 因为__malloc_hook的参数类型为int,不能传一个字符串的地址 "/bin/sh"9. 从而绕过Partial RELRO保护机制

__malloc_hook & fastbin attack

1. 将fastbin的fd指向[__malloc_hook+0x23] 或[ __free_hook]2. 再次malloc就会将[__malloc_hook+0x23] 或[ __free_hook]分配出来3. 在[__malloc_hook+0x23] 或[ __free_hook]写一个地址，如"bin/sh"或shellcode，one_gadget的地址

unsorted bin

设计原则

释放一个不属于fastbin的chunk，并且该chunk不与top_chunk紧邻时，就会进入unsortedbin切割一个较大的chunk时，如果剩下的部分大于minsize时，就会被放到unsortedbin中unsortedbin管理bins链的原则 : 双向循环链表，FIFOunsortedbin只有一个链表，即bin数组的第一个索引处当unsorted bin被遍历一次之后，会触发整理，将相应大小的chunk place in order

连接

当chunk释放到unsorted bin，当前chunk内就有libc上的地址

0x7ffff7dd1000 0x7ffff7dd3000 rw-p 2000 1c4000 /lib/x86_64-linux-gnu/libc-2.23.solibc_arrd = libc_on - libc.symbol("main_arena") - 88

unsortedbin attack

1. 构造overlap,控制一个释放了还能修改的chunk
2. 修改当前chunk的fd为target -0x23 的地址 3. 在进行断链操作时，当前chunk的bk指向的地址bck赋给av->bk，将main_arena的地址赋给bck->fd，而bck->fd即当前chunk的fd
4. 即我们将target - 0x23处写入了main_arena的地址 a. main_arena为libc中的地址，以0x7f打头b. target-0x23正好向size位写入0x7f，只写size的倒数第4位c. 这样我们就在target中写了一个0x7f的内容d. 然后就可以结合fastbin，将target malloc出来，完成任意地址堆块的创建和读写 5. 因为main_arena的bk被修改了，unsortedbin的链表结构被破坏
6. 因此再次分配堆块的时候不能从unsortedbin上分配，而从fastedbin中分配(提前在fastedbin放几个chunk)

<code>3733 while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av)) //当前chunk为空是bk指向本身
        {
          bck = victim->bk;      //指向当前chunk的bk指向的下一个chunk
          if (__builtin_expect (chunksize_nomask (victim) <= 2 * SIZE_SZ, 0)
              || __builtin_expect (chunksize_nomask (victim)
           > av->system_mem, 0))
            malloc_printerr ("malloc(): memory corruption");
          size = chunksize (victim);


          /*
             If a small request, try to use last remainder if it is the
             only chunk in unsorted bin.  This helps promote locality for 

             runs of consecutive small requests. This is the only
             exception to best-fit, and applies only when there is
             no exact fit for a small chunk.
           */


          if (in_smallbin_range (nb) &&
              bck == unsorted_chunks (av) &&
              victim == av->last_remainder &&
              (unsigned long) (size) > (unsigned long) (nb + MINSIZE))
            {
              /* split and reattach remainder */
              remainder_size = size - nb;
              remainder = chunk_at_offset (victim, nb);
              unsorted_chunks (av)->bk = unsorted_chunks (av)->fd = remainder;
              av->last_remainder = remainder;
              remainder->bk = remainder->fd = unsorted_chunks (av);
              if (!in_smallbin_range (remainder_size))
                {
                  remainder->fd_nextsize = NULL;
                  remainder->bk_nextsize = NULL;
                }


              set_head (victim, nb | PREV_INUSE |
                        (av != &main_arena ? NON_MAIN_ARENA : 0));
              set_head (remainder, remainder_size | PREV_INUSE);
              set_foot (remainder, remainder_size);


              check_malloced_chunk (av, victim, nb);
              void *p = chunk2mem (victim);
              alloc_perturb (p, bytes);
              return p;
            }


          /* remove from unsorted list */
          unsorted_chunks (av)->bk = bck;   //断链，将之前的chunk取出
          bck->fd = unsorted_chunks (av);
/<code>

last remainder

在用户malloc请求分配内存之后，ptmalloc找到的chunk与目标申请的大小不一致时，会进行切割，剩余部分称为last remainder chunk，由 last_remainder 管理,存储在unsortedbin中
p main_arena可以查看last remainderlast_remainder = 0x6020a0
切割完成后会leak出<main>的地址/<main>

<code>0x602260 PREV_INUSE {
  prev_size = 0,
  size = 305,
  fd = 0x7ffff7dd1c98 <main>,
  bk = 0x7ffff7dd1c98 <main>,
  fd_nextsize = 0x0,
  bk_nextsize = 0x0
}/<main>/<main>/<code>

fast bin

设计原则

单向链表的管理结构,类似于C语言散列表的管理结构,分别以0x20，0x30，0x40到0x80为散列项,相同的散列项被连接在一起ptmalloc专门设计了fastbin，用来管理程序在释放一些较小的内存块，对应malloc state结构体中的fastbinY。
fastbin中的chunk的prev_inuse为1，故不会在遇到与之相邻的chunk就发生合并，直到malloc_consolidate的时候会整理，实验在malloc大于0x400的时候两个相邻的fastbin会合并。每个bin管理的chunk默认最大为0x80字节，但是可以最大支持到0xa0字节fastbin最多支持10个bin，从0x20到0xa0

管理原则

1. 当用户需要的chunk的大小小于fastbin中的最大大小的堆块时，ptmalloc会首先判断fastbin中相应的bin中是否有对应大小的空闲块，如果有的话，直接获取这个堆块，没有的话，从top_chunk中分配并进行一系列操作。 2. 出入到fastbin的堆块采用LIFO原则 : 最近free的chunk，与main_arena直接相连，从main_arena遍历，并且最先被分配出去 3. main_arena开始对应的散列项与0（null）相连,每插入一个chunk,在main_arena和0中间插一个，每个插入的堆块都直接和main_arena相连

索引

ptmalloc默认情况下会调用set_max_fast(DEFAULT_MAXFAST)将全局变量global_max_fast设置为DEFAULT_MAXFAST，即fastbin chunk的最大值。当DEFAULT_MAXFAST设置为0时，系统就不会支持fastbinfastbin索引的计算方法：fastbin_idx(size)

连接

fastbin attack

1. 构造一个fastbin的overlap(堆块重叠)，造成释放了当前chunk还能对它修改 2. 修改当前chunk的fd指向我们的target，当释放当前chunk的时候，main_arena就会指向target
3. 将伪造的地址的起始地址+0x8的内存内容即target的size修改为0x71或0x7f等,绕过chunk_size和prev_inuse的检测，后面的内容可以随意写入。（同一索引的chunk的大小在一个梯度内，检查是否在此梯度）tips ：libc的地址存在0x7fxxxx：0x7ffff7a0d000 0x7ffff7bcd000 r-xp 1c0000 0 /lib/x86_64-linux-gnu/libc-2.23.so4. 再次malloc的时候，就会malloc出来target的堆块，比如target为got或任意地址，造成函数执行和任意地址写

断链过程

<code>if ((unsigned long) (nb) <= (unsigned long) (get_max_fast ()))
    {
      idx = fastbin_index (nb);                              //获取散列号
      mfastbinptr *fb = &fastbin (av, idx);         //找到main_arena
      mchunkptr pp; 
      victim = *fb;                                                     //victim = main_arena->fd

      if (victim != NULL)                       
    {
      if (SINGLE_THREAD_P)
        *fb = victim->fd;                                               //将main_arena->fd->fd 赋给main_arena->fd,实现断掉和main_arena直接相连的chunk
      else
        REMOVE_FB (fb, pp, victim);
      if (__glibc_likely (victim != NULL))
        {
          size_t victim_idx = fastbin_index (chunksize (victim)); //检查chunk_size和散列表的大小是否一致以及prev_inuse=1
          if (__builtin_expect (victim_idx != idx, 0)) //检测当前的size和散列项的size是否一致
        malloc_printerr ("malloc(): memory corruption (fast)");
          check_remalloced_chunk (av, victim, nb);/<code>

small bin

管理原则

small bins中一共有62个循环双向链表，每个链表中存储的chunk大小一致
small bins中每个bin对应的链表采取FIFO的规则
每次去bin链中的chunk是从bk指向的位置取的，bk指向目前最早释放进来的chunk

small bins中的每个chunk的大小与其所在的bin的index的关系是：chunk_size = 2 * SIZE_T * index

32位对应的SIZE_T为4，64位对应的SIZE_T为8small bins的index从2到62比如说对于64位机器，index = 2 ，chunk_size = 32；index = 62 ，chunk_size = 992

对于fastbin和small bin的重合问题的解释

fastbin的chunk在经过consolidate之后都会进入到small bin中的0x20到0x80的对应位置

small bin的结构

large bin

管理原则

large bin一共包含63个bin，每个bin中的chunk的大小不一致，处于一个相同的范围63个bin被分为公差一致的六组：第一组 : 索引64-95 数量32 起始大小1024 公差64 [1024,1024+64]第二组 : 索引96-111 数量16 起始大小xxxx 公差512第三组 : 索引112-119 数量8 起始大小xxxx 公差4096第四组 : 索引120-123 数量4 起始大小xxxx 公差32768第五组 : 索引124-125 数量2 起始大小xxxx 公差262144第六组 : 索引126 数量1 起始大小xxxx 公差无限制
与smallbin一样采取FIFO的管理方式，不同的是largebin具有两条双向链表largebin中fd_nextsize和bk_nextsize按照chunk的大小排列，分别指向下一个更大size的chunk和更小的chunkfd和bk按照chunk的free顺序排列(先来的和main_arena相连)·

结构

largebin attack

要求target与当前chunk在一个链上，大小范围一致

碎块合并

bin链的归属问题

fastbin：10个0x20-0x80,实际上malloc的大小为0x10-0x70
bin链：128个bin 1 为unsorted binbin 2 到63为small binbin 64到126为large bin
按照free的堆块大小

0x20-0x80 --> 进入fastbin
0x80以上 --> 进入unsorted bin

bin链的整理分类

malloc_consolidate会整理fastbin，将能合并的fastbin合并一起放入unsortedbin，在unsortedbin的malloc的最后，会将unsortedbin上的堆块进行整理并放入到对应的bin中
fastbin --->malloc_consolidate---> unsortedbin ----->整理后分配到相应的bin链

在fastbin和unsortedbin，largebin，map上都没有适合的堆块才会从top_chunk中切割。
减少堆块的碎片化

consolidate

fastbin范围的chunk的inuse位始终为1，因此不会和其他释放的chunk合并。当释放的chunk与该chunk相邻的空闲chunk合并后的大小大于FAST_CONSOLIDATION_THRESHOLD时，内存碎片可能性比较多了，我们需要把fastbins中的chunk都进行合并，以减少内存碎片对系统的影响。malloc_consolidate函数可以将fastbin中所有能和其它chunk合并的chunk合并在一起。0. 碎片检查针对于fastbin的碎片整理

<code>#define FAST_CONSOLIDATION_THRESHOLD (65536ul)/<code>

1. 触发合并

第一次合并整理的时候malloc超过0x80的空间就会触发合并

<code>/*
     If a small request, check regular bin.  Since these "smallbins"
     hold one size each, no searching within bins is necessary.
     (For a large request, we need to wait until unsorted chunks are
     processed to find best fit. But for small ones, fits are exact
     anyway, so we can check now, which is faster.)
   */

  if (in_smallbin_range (nb))
    {
      idx = smallbin_index (nb);
      bin = bin_at (av, idx);
 

      if ((victim = last (bin)) != bin)
        {
          bck = victim->bk;
    if (__glibc_unlikely (bck->fd != victim))
      malloc_printerr ("malloc(): smallbin double linked list corrupted");
          set_inuse_bit_at_offset (victim, nb);
          bin->bk = bck;
          bck->fd = bin;

          if (av != &main_arena)
      set_non_main_arena (victim);
          check_malloced_chunk (av, victim, nb);
#if USE_TCACHE
    /* While we're here, if we see other chunks of the same size,
       stash them in the tcache.  */
    size_t tc_idx = csize2tidx (nb);
    if (tcache && tc_idx < mp_.tcache_bins)
      {
        mchunkptr tc_victim;

        /* While bin not empty and tcache not full, copy chunks over.  */
        while (tcache->counts[tc_idx] < mp_.tcache_count
         && (tc_victim = last (bin)) != bin)
    {
      if (tc_victim != 0)
        {
          bck = tc_victim->bk;
          set_inuse_bit_at_offset (tc_victim, nb);
          if (av != &main_arena)
      set_non_main_arena (tc_victim);
          bin->bk = bck;
          bck->fd = bin;

          tcache_put (tc_victim, tc_idx);
              }
    }
      }
#endif
          void *p = chunk2mem (victim);
          alloc_perturb (p, bytes);
          return p;
        }
    }

  /*
     If this is a large request, consolidate fastbins before continuing.
     While it might look excessive to kill all fastbins before
     even seeing if there is space available, this avoids
     fragmentation problems normally associated with fastbins.
     Also, in practice, programs tend to have runs of either small or 

     large requests, but less often mixtures, so consolidation is not
     invoked all that often in most programs. And the programs that
     it is called frequently in otherwise tend to fragment.
   */

  else
    {
      idx = largebin_index (nb); //当前chunk为largebin
      if (atomic_load_relaxed (&av->have_fastchunks)) //含有fastbin时触发
        malloc_consolidate (av);
    }/<code>

2. 开始合并

将fastbin上取消的堆块合并到unsortedbin

<code>static void malloc_consolidate(mstate av)
{
  mfastbinptr*    fb;                 /* current fastbin being consolidated */
  mfastbinptr*    maxfb;              /* last fastbin (for loop control) */
  mchunkptr       p;                  /* current chunk being consolidated */
  mchunkptr       nextp;              /* next chunk to consolidate */
  mchunkptr       unsorted_bin;       /* bin header */
  mchunkptr       first_unsorted;     /* chunk to link to */

  /* These have same use as in free() */
  mchunkptr       nextchunk;
  INTERNAL_SIZE_T size;
  INTERNAL_SIZE_T nextsize;
  INTERNAL_SIZE_T prevsize;
  int             nextinuse;
  mchunkptr       bck;
  mchunkptr       fwd;

  atomic_store_relaxed (&av->have_fastchunks, false);

  unsorted_bin = unsorted_chunks(av);  //取un的bin头

  /*
    Remove each chunk from fast bin and consolidate it, placing it
    then in unsorted bin. Among other reasons for doing this,
    placing in unsorted bin avoids needing to calculate actual bins
    until malloc is sure that chunks aren't immediately going to be
    reused anyway.
  */
 

  maxfb = &fastbin (av, NFASTBINS - 1);
  fb = &fastbin (av, 0);      
  do {
    p = atomic_exchange_acq (fb, NULL);
    if (p != 0) {
      do {
  {
    unsigned int idx = fastbin_index (chunksize (p)); //取fastbin的bin头
    if ((&fastbin (av, idx)) != fb)
      malloc_printerr ("malloc_consolidate(): invalid chunk size");
  }

  check_inuse_chunk(av, p);  //检测前项chunk是否正在使用
  nextp = p->fd;

  /* Slightly streamlined version of consolidation code in free() */
  size = chunksize (p);
  nextchunk = chunk_at_offset(p, size); //获取fastbin的堆块
  nextsize = chunksize(nextchunk);

  if (!prev_inuse(p)) {      //合并fastbin
    prevsize = prev_size (p);
    size += prevsize;
    p = chunk_at_offset(p, -((long) prevsize));
    unlink(av, p, bck, fwd);
  }

  if (nextchunk != av->top) {      //合并整理unsortedbin
    nextinuse = inuse_bit_at_offset(nextchunk, nextsize);

    if (!nextinuse) {
      size += nextsize;
      unlink(av, nextchunk, bck, fwd);
    } else
      clear_inuse_bit_at_offset(nextchunk, 0);

    first_unsorted = unsorted_bin->fd;
    unsorted_bin->fd = p;        //p：fastbin取上的堆块,将其合并到unsortedbin
    first_unsorted->bk = p;

    if (!in_smallbin_range (size)) {
      p->fd_nextsize = NULL;
      p->bk_nextsize = NULL;
    }

    set_head(p, size | PREV_INUSE);
    p->bk = unsorted_bin; 

    p->fd = first_unsorted;
    set_foot(p, size);
  }

  else {
    size += nextsize;
    set_head(p, size | PREV_INUSE);
    av->top = p;
  }

      } while ( (p = nextp) != 0);

    }
  } while (fb++ != maxfb);
}/<code>

3. 开始查找

遍历查找当前unsortedbin上合适的堆块,必要的时候切割unsortedbin

<code> /*
1. 在unsortedbin上寻找有没有适合的堆块
2. 没有的话有两种情况
  2.1 切割unsortedbin
  2.2 再次触发consolidate，然后切割topchunk
*/

  for (;; )    
    {
      int iters = 0;
      while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av)) //当前chunk为空是bk指向本身
        {
          bck = victim->bk;      //指向当前chunk的bk指向的下一个chunk
          if (__builtin_expect (chunksize_nomask (victim) <= 2 * SIZE_SZ, 0)
              || __builtin_expect (chunksize_nomask (victim)
           > av->system_mem, 0))
            malloc_printerr ("malloc(): memory corruption");
          size = chunksize (victim); 

          /*
             If a small request, try to use last remainder if it is the 

             only chunk in unsorted bin.  This helps promote locality for
             runs of consecutive small requests. This is the only
             exception to best-fit, and applies only when there is
             no exact fit for a small chunk.
           */
           //需要的chunk必须在0x20-0x400的时候才会切割unsortedbin

          if (in_smallbin_range (nb) &&
              bck == unsorted_chunks (av) &&
              victim == av->last_remainder &&
              (unsigned long) (size) > (unsigned long) (nb + MINSIZE))
            { //切割完大于0x20
              /* split and reattach remainder */
              remainder_size = size - nb;
              remainder = chunk_at_offset (victim, nb);
              unsorted_chunks (av)->bk = unsorted_chunks (av)->fd = remainder;
              av->last_remainder = remainder;
              remainder->bk = remainder->fd = unsorted_chunks (av);
              if (!in_smallbin_range (remainder_size))
                {
                  remainder->fd_nextsize = NULL;
                  remainder->bk_nextsize = NULL;
                }

              set_head (victim, nb | PREV_INUSE |
                        (av != &main_arena ? NON_MAIN_ARENA : 0));
              set_head (remainder, remainder_size | PREV_INUSE);
              set_foot (remainder, remainder_size);

              check_malloced_chunk (av, victim, nb);
              void *p = chunk2mem (victim);
              alloc_perturb (p, bytes);
              return p;
            }

          /* remove from unsorted list */
          unsorted_chunks (av)->bk = bck;   //断链，将之前的chunk取出
          bck->fd = unsorted_chunks (av);

          /* Take now instead of binning if exact fit */

          if (size == nb)
            {
              set_inuse_bit_at_offset (victim, size);
              if (av != &main_arena)
    set_non_main_arena (victim);
//当前循环跳出表示unsortedbin找不到适合的堆块/<code>

4.开始整理

将unsortedbin上找到的合适堆块整理到相应大小的bin链中

<code>/* place chunk in bin */

          if (in_smallbin_range (size))  //判断从unsortedbin上取出的堆块是否在smallbin
            {
              victim_index = smallbin_index (size); //放入smallbin
              bck = bin_at (av, victim_index);
              fwd = bck->fd;
            }
          else
            {
              victim_index = largebin_index (size); //放入largebin
              bck = bin_at (av, victim_index);
              fwd = bck->fd;

              /* maintain large bins in sorted order */
              if (fwd != bck)
                {
                  /* Or with inuse bit to speed comparisons */
                  size |= PREV_INUSE;
                  /* if smaller than smallest, bypass loop below */
                  assert (chunk_main_arena (bck->bk));
                  if ((unsigned long) (size)
          < (unsigned long) chunksize_nomask (bck->bk))
                    {
                      fwd = bck;
                      bck = bck->bk;

                      victim->fd_nextsize = fwd->fd;
                      victim->bk_nextsize = fwd->fd->bk_nextsize;
                      fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;
                    }
                  else
                    {
                      assert (chunk_main_arena (fwd));
                      while ((unsigned long) size < chunksize_nomask (fwd))
                        {
                          fwd = fwd->fd_nextsize;
        assert (chunk_main_arena (fwd));
                        }
 

                      if ((unsigned long) size
        == (unsigned long) chunksize_nomask (fwd))
                        /* Always insert in the second position.  */
                        fwd = fwd->fd;
                      else
                        {
                          victim->fd_nextsize = fwd;
                          victim->bk_nextsize = fwd->bk_nextsize;
                          fwd->bk_nextsize = victim;
                          victim->bk_nextsize->fd_nextsize = victim;
                        }
                      bck = fwd->bk;
                    }
                }
              else
                victim->fd_nextsize = victim->bk_nextsize = victim;
            }

          mark_bin (av, victim_index);  //断链加链
          victim->bk = bck;
          victim->fd = fwd;
          fwd->bk = victim;
          bck->fd = victim;/<code>

后续内容请看下一篇哦~~

分享到:

閱讀更多 知了堂 的文章

關鍵字: Linux 之堆 GNU

网络基础常识：IP地址、子网掩码、二进制

清楚讲解防止假溢出的办法，赶紧拿小本本记下来吧

12.26 基因编码为何选择了“四进制”，而不是计算机系统的“二进制”？

PLC内部各类型数据转换

Java编程架构深入解析-RPC 消息协议设计

刚刚工作的毕业生，一个月只有2000多，是不是太少了？

刚刚:刚刚工作的毕业生，一个月只有2000多，是不是太少了？根据你城市消费水平来看啊，还有你从事的工作，假如你在二三线城市做一份事业单位或者是编制类的工作，薪资水平是随着你工作年限逐年增长的，而且在年终也有很多福利补贴待遇等等，算下来收入也是可观的，再举一个例:-毕业生 2000

为什么只有edg赚钱？

电竞行业作为一个新兴产业，这几年发展势头越来越好，IG战队，FPX战队先后夺得了s8-s9世界赛的冠军，据俱乐部知情人士透露，除了国内的几家豪门俱乐部之外，其他俱乐部基本都是亏钱在做的，当然EDG也是:-edg 赚钱:为什么只有edg赚钱？

网上罗马仕充电宝20000毫安的，参数怎么很多样？哪个是真的？

20000:网上罗马仕充电宝20000毫安的，参数怎么很多样？哪个是真的？天猫旗舰店，或者淘宝旗舰店，或者京东旗舰店肯定包真，质量好，再说可以官方验证啊，不能图那十块五块的便宜，毕竟一个充电宝要用好久呢，一两年没问题的。:-罗马仕马仕毫安

我们买的新商品房还没有拿到房产证，怎么转卖最好？

没有取得房抄产证的房子可以转让。但如果确定无法取得房产证的，房产转让不受法律保袭护。一般情况下，只有取得房产证的房屋才能确定房屋产权人，才具有转让的条件。但如果房屋是合法取得的，以百后可以依法办理度房:-转卖房产证商品房拿到:我们买的新商品房还没有拿到房产证，怎么转卖最好？

为什么突厥人可以成功复国？是大唐的刀不锋利了么？

锋利突厥人你这样说只能说明你对历史非常不了解，我先用一句话概括突厥被大唐雄兵打的有多惨：三次灭国，背井离乡，远赴西亚，打不过，俺躲着你还不行吗？突厥的意思是中间怂起的头盔。其来历已经不可靠，可能有着匈奴、鲜卑或:-复国大唐:为什么突厥人可以成功复国？是大唐的刀不锋利了么？

小高层16层高楼间距60米哪一层比较好？

小高层 60:小高层16层高楼间距60米哪一层比较好？首先需要明白，选择层数居住与楼间距毫无关系，住在哪一层，肉眼看对面楼的距离，是相差不大的。设定楼间距60米，纯粹是混淆视听。其实，一幢楼的楼层总数确定的情况下，到底哪一层最佳？很简单，取总层数乘以黄金:-楼间距层高

金银花盆栽好养吗？怎么养？

金银花可以盆栽，很好养的！金银花，是忍冬科的常绿缠绕灌木，枝条柔韧修长，多攀爬或匍匐生长。金银花生性强健，在我国的很多南方省份野外很多地区都能看到它的身影，叶子常年翠绿，到夏季开花，飘香四溢。所以，有:-金银花盆栽:金银花盆栽好养吗？怎么养？

长城对于抵御古代匈奴和蒙古人起到了多大作用？

长城真的无用吗？在今天许多人认为长城无用，古代国家举国之力建造的长城不过只是文物，就连康熙都曾作诗讽刺，原文如下：万里经营到海涯，纷纷调发逐浮夸。当时用尽生民力，天下何曾属尔家。-康熙但真的如此吗？小:-匈奴抵御长城:长城对于抵御古代匈奴和蒙古人起到了多大作用？蒙古人

什么树可以嫁接腊梅？

腊梅只能嫁接在不同品种的腊梅上，其他的树种不行！腊梅的繁殖可以用播种，压条，嫁接，分株等繁殖方法。播种法因不易保持花卉的原有优良特性，且播种的优点是在于大量繁殖，而腊梅大都只需培植少量几株，故一般都不:-腊梅嫁接:什么树可以嫁接腊梅？

行情堪忧，还有多少教育机构的老师们五一假期有课上的？课时量多不多？

堪忧五一假期:行情堪忧，还有多少教育机构的老师们五一假期有课上的？课时量多不多？事实上，因为教育培训都是预收费用的模式。但凡有一点点规模的培训机构老师。在上半年，带课量是可以得到保证。:-课时量

在农村“立夏节”都有哪些民间习俗？

民间习俗农村:在农村“立夏节”都有哪些民间习俗？在农村“立夏节”都有哪些民间习俗一、农村立夏常见的习俗风俗活动：1、吃鸡蛋“立夏吃蛋”习俗由来已久，俗话说“立夏吃了蛋，夏天不疰夏”。据说立夏开始天气越来越热，村里小孩儿会有身体疲劳四肢无力的感觉，吃:-立夏节

男朋友失望分手，但对我还有感觉，答应我两个月之后可以在一起，我应该怎么做，才能改变之前他对我的看法？

失望分手看法:男朋友失望分手，但对我还有感觉，答应我两个月之后可以在一起，我应该怎么做，才能改变之前他对我的看法？你的这个问题特别的有趣，我觉得你先不要看你要怎么做才让他才能让他对你的印象有所改变，你要去看为什么是两个月之后可以在一起，这两个月他会用来做什么，为什么会有这两个月？例如他的身体碰到了什么样的问题吗？:-答应我

工程分包乙方人员伤残谁承担？

承担:工程分包乙方人员伤残谁承担？分包乙方分包致人伤残责任谁承担？严格来说，需要了解更多伤残原因才能区分的，作为非专业人士，自己发表一点浅见供题主参考：1、如果甲方是央企的话，他们合同中的责任、义务等条款内已经将自己的责任全部撇开了，更会:-乙方伤残

有哪些看起来毫不相关的两个历史人物实际上有过联系？

实际上:有哪些看起来毫不相关的两个历史人物实际上有过联系？历史人物联系这个词貌似太宽泛了，就好像有一个调皮的答案说的，胡亥和溥仪相隔2000多年，牵强的找，也有联系：都是亡国之君不是。我想题主的意思是两个看起来应该风马牛不相及的人物，在历史上居然是熟悉或是一个时代的:-毫不相关

13年雪铁龙世嘉自动挡7万多公里，没有水泡事故，多少钱能买？

法系车不保值，如果准备常开可以入手，性价比高，价格应该在二至三万之间，二手车一车一况，一况一价，居体价格看车况。:-钱能水泡:13年雪铁龙世嘉自动挡7万多公里，没有水泡事故，多少钱能买？世嘉自动挡

22+吃土少女17年就有驾驶证了，今年才开始开车，想买个二手昂克赛拉，或者有什么好建议吗？

17年驾驶证二手:22+吃土少女17年就有驾驶证了，今年才开始开车，想买个二手昂克赛拉，或者有什么好建议吗？建议买日系二手车，开顺了卖了，买新车，昂克赛拉无法再次出手时获得好价格，而且也不省油，开完日系车直接换德系:-昂克赛拉

如何骑车去台湾骑行？

骑车在台湾没有回归内地前，最好不要去台湾，一是国内政策不允许你去台湾，因为已停止了台湾个人游。二是你偷着去台湾旅游，安全没有保障，偷渡客在哪里也没有安全保障的。以后内地政策允许个人去台湾旅游了，建议那时再:-骑行台湾:如何骑车去台湾骑行？

本人预算5万左右，想买一辆二手法系车！求推荐？

预算:本人预算5万左右，想买一辆二手法系车！求推荐？ 5万预算5万元左右，想买一辆二手法系车？推荐东风标致老款308车型。1 5万元可以买标致308车况好的，没大事故呢，年限15年左右，公里数3万左右，手动档车型。2 标致308车型，底盘调教扎实，跑高速稳定:-法系二手

14年进口马自达5PK进口10年道奇酷威买哪个划算？

道奇你好，好高兴回答你的问题！14年进口马自达5和10年月道奇酷威个人感觉马自达5比较划算。新车价马5报价29.99万，酷威19.38万两款车都是原装进口，马5属于日系，酷威属于美系。两款车不属于同类车型:-酷威马自达 14年:14年进口马自达5PK进口10年道奇酷威买哪个划算？

2020年，河南教育行业国务院特殊津贴推荐，河南大学并列第三，大家怎么看？

特殊津贴高校人才就要重视，河南省高校人才更要重视，这个人才不是评出了的，而是推荐出来的，没有推荐，连参评的资格都没有。国务院特殊津贴人员推荐，不推荐是百分百没希望，推荐了希望就非常，那么是什么是国务院特殊津贴:-河南大学并列 2020年:2020年，河南教育行业国务院特殊津贴推荐，河南大学并列第三，大家怎么看？

本田CRV2019款1.5T舒适版油耗高吗？

李老猫说车为你非专业解答各种选车用车问题本田crv定位于一款紧凑级suv产品，主要对飚丰田荣放，日产奇骏，这款车整体市场表现非常突出，2019年全年累计销量为18.44万台，平均月销1.5万以上，其深:-舒适版本田油耗:本田CRV2019款1.5T舒适版油耗高吗？

国外疫情如果没有得到有效控制，世界会发生什么事情？头脑风暴？

1.世界经济遭到重创疫情影响之下，各行各业基本属于停工停产的状态，在世界经济趋于一体化的今天，停工停产势必会造成一系列的连锁反应，最后导致的结果可能会引发金融危机。2.世界格局可能发生改变美国仍是世界:-头脑风暴控制:国外疫情如果没有得到有效控制，世界会发生什么事情？头脑风暴？疫情国外

本田XRV这款车的整体表现怎么样？我想买1.5T自动豪华版，全款多少钱？

如果有15万元的预算，让你选择一台空间和动力都很不错的小型SUV，我觉得很多的读者都会想到本田XRV这款车型。因为本田XRV确实太出色了，和同级别的其他盒子SUV车型相比，这款车在空间和动力上都有优势:-xrv 自动:本田XRV这款车的整体表现怎么样？我想买1.5T自动豪华版，全款多少钱？本田豪华版

现在存款有14万，借了5万还没收回来，该做什么好？

何去何从:现在存款有14万，借了5万还没收回来，该做什么好？续租存款利息率较低，可以投资较高收益的项目，比如投资基金，一般情况下可获得6%一10%的回报。如果行情好可达到50%以上收益，去年不少基金超过这目标。目前受疫情影响，股市在低位震荡，也是基金投资的机会。一:-存款 2300

2070super和5700xt买哪个比较好？

如果是玩游戏毫无疑问选择n卡，也就是2070 suep。如果追求性价比可以选择a卡，也就是5700xt. 为什么游戏选n卡呢？首先游戏厂商针对n卡优化比较多，然后就是功耗小，然后N卡架构执行效率极高，:-:2070super和5700xt买哪个比较好？

生完二胎后，感觉自己有点抑郁，总是想发火，特别烦躁，怎么办？

二胎我是两个孩子的妈妈，曾经的我和你一样，生完宝宝我也抑郁了，我知道抑郁症真的很痛苦，产后的那段日子我整天都不开心，做什么事也没积极性，谁也不想搭理，别人给我说话我就觉得很烦。忍不住冲家人发脾气。每当一个:-生完抑郁:生完二胎后，感觉自己有点抑郁，总是想发火，特别烦躁，怎么办？发火

人这一生遇到的人和事为什么感觉都像是必然的经历？

感觉:人这一生遇到的人和事为什么感觉都像是必然的经历？正所谓有因必有果，所以你今天的因，就会产生明天的果。所以这一切你就会觉得是必然的。生活中大部分是普通人大家的生活规律，生活方式，大致相同。当你看到别人家庭的果，自己家也产生同样的果，你就会觉得这一切是:-人和经历

现在校内校外到底教的是美式英语还是英式英语还是混搭英语？

校内:现在校内校外到底教的是美式英语还是英式英语还是混搭英语？校外英式答案肯定是不唯一的！美式英语现在是主流，少量英式发音也个别存在！但对于孩子来说，肯定是混搭英语，因为孩子肯定不是一直一位老师教下去，肯定会换老师！而老师的发音肯定是既有英式的，也有美式的！就连一些英语:-美式英语

上有老下有小，我们真的跳不出这个人生循环了吗？

上有老魔咒:上有老下有小，我们真的跳不出这个人生循环了吗？的确如此，尽管现在不结婚，晚婚的人很多，但是从人类繁洐生息的历史和大多数人来看，成家立业，生儿育女，家庭仍是主流，一个人的生理，心理和生存需求決定了生存状态，生儿育女，瞻养父母即是义务责任，也是生活动:-下有小

如果外面正在下小雨，你会突然想起了谁？

想起:如果外面正在下小雨，你会突然想起了谁？我最不忘，还是秋日的雨夜，天又凉了几分，已经需要披上一件薄薄的外套了。临窗而望，眼见窗台上的几株小植物，叶片上沾了几滴小雨珠，我总喜欢，用小手电去照它们，这样的小水滴看起来晶莹晶莹的，有一种清清凉凉的:-小雨

初中同学许久未见大学期间突然联系请吃饭，态度还良好，我给推了，会不会让人很烦？

初中同学:初中同学许久未见大学期间突然联系请吃饭，态度还良好，我给推了，会不会让人很烦？吃饭许久未见，意思就是交情不怎么样，无功不受禄，人家凭什么那么热情，难道真的是多年一来忘不了咱们之间的同学情谊，倍感想念了吗，不是请帮忙、做业务、就是借钱，十有八九十借钱。我建议还是不要去的好，大家都很忙:-许久未见

现在我觉得认真对某个人说我喜欢你什么的这种话好恶心，我爱你更说不出口，好恶心，是什么心理？

出口心理:现在我觉得认真对某个人说我喜欢你什么的这种话好恶心，我爱你更说不出口，好恶心，是什么心理？爱你更多的是心里问题，可能对方还没有优秀到你满意的程度，更没有到那种离不开的地步！爱情最终还是要回归生活，而生活离不开两个人的相处，父母终究会老，孩子终究会飞，所以选择自己的伴侣尤为重要，你现在觉得恶心更:-喜欢你

剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢？

再见王沥川好看:剧版的《何以笙箫默》和《再见王沥川》哪一个更好看呢？《遇见王沥川》吧，高以翔的王沥川太招人稀罕了。长相，身材，家世，人品，才能样样好，简直完美，挑不出任何毛病，实在要说一个缺点的话，那就是太tm完美，天妒英才、才让他饱受病魔折磨。偶像剧、深情帅气的男主:-何以笙箫默

计算机专业本科能够进入字节跳动、华为这些公司做开发吗？是否还需要继续读研？

学历是求职必备条件。有了工作不能停止对知识的探索。更高的学历，可以让你有更专业的技术能力和学习能力，可以让你拓展自己的交际圈，可以让你更知名。总之，活到老，学到老，学习对人总是有好处的，技多不压身嘛！:-字节跳动:计算机专业本科能够进入字节跳动、华为这些公司做开发吗？是否还需要继续读研？读研计算机专业

生完二胎的你们，现在有什么感想？

二胎家庭日常是什么样的？是不是觉得家里多了一个小人儿，温馨多了？不存在的！生二胎根本是妈妈们的渡劫磨砺！以前周末睡到自然醒，现在全年无休，时刻警醒着，能睡一次懒觉跟过年似的，黑眼圈不说，头发呼啦啦地掉:-生完二胎感想:生完二胎的你们，现在有什么感想？

华北适合种植蚕豆吗？

华北适合种植蚕豆，种蚕豆的面积大，在西北，华北，都在种植蚕豆，蚕豆茎秆根部有根瘤菌是种植其它农作物的好茬地，特别是土壤培养和防病虫害起到作用。:-蚕豆种植适合:华北适合种植蚕豆吗？华北

华为手机更新EMUI10.1系统后效果咋样？

大家知道现在智能手机的性能不仅仅跟智能手机的硬件有关，还跟智能手机的系统软件息息相关，在国产智能手机操作系统里，小米的MIUI系统跟华为的EMUI系统都是比较优秀的操作系统。最近小米推出了小米MIUI:-咋样华为华为手机更新:华为手机更新EMUI10.1系统后效果咋样？

大热天蜜蜂老是爬到箱外结群正常吗？

蜜蜂爬到:大热天蜜蜂老是爬到箱外结群正常吗？盗蜂现在正是夏季，很多地方蜜源稀少，蜂群中可能缺蜜，也是胡蜂猖獗的时间，所以蜂群中是非常容易发生盗蜂的。在蜂群中发生盗蜂的时候，蜂群守卫蜂会增多，但是这种情况引发的蜜蜂在蜂箱外一般不会结团，只是蜜蜂来:-大热天

辣椒正是生长最佳期，偏偏有的辣椒苗蔫，不是病虫害是咋回事？

最佳期雾都山客来回答您的问题。最近山客家乡的村民正在进行辣椒移栽，确实有像题主提到的情形，辣椒苗移栽前长势葱葱，嫩绿喜人，但是移栽后几天内就出现萎蔫现象，细心观察也不是被病虫害危害。那究竟是什么原因导致辣椒:-苗蔫辣椒咋回事:辣椒正是生长最佳期，偏偏有的辣椒苗蔫，不是病虫害是咋回事？

手机相机发展的最终形态会是怎样的？

最近这几年手机在电子产品行业里可谓是发展速度非常快，苹果和华为两大公司可以说也是，明争暗斗，产品一次比一次有卖点，前一段时间华为和苹果还都推出了手机新品，两家都在大力宣传强调着拍照功能，像iPhone:-形态相机手机最终:手机相机发展的最终形态会是怎样的？

华为为什么不出一款5寸全面屏手机呢？我想应该会有很多人支持吧？

5寸手机支持:华为为什么不出一款5寸全面屏手机呢？我想应该会有很多人支持吧？很高兴回答你的问题，刷头条刷出来的问题，看到很多人回答，感觉还有一些观点没有写出，所以我来回答一下。首先，华为为什么不出小尺寸全面屏手机？其实并不只有华为一家没有出小屏手机，放眼近期各大手机厂商发布的:-华为

生吃山芋，生吃胡萝卜，还有哪些蔬菜可以生吃呢？

胡萝卜蔬菜:生吃山芋，生吃胡萝卜，还有哪些蔬菜可以生吃呢？第一种，黄瓜。这个瓜，可不是菜市场中堆放满满的青瓜。各位可要睁大眼睛看清楚了，这个黄瓜，青中带黄，品种属以前乡下农户少量种植的，形态上面来看这种瓜矮、短、圆，表面覆盖有比较淡的细毛，经水轻轻冲洗之后整:-山芋

为什么马铃薯不宜过早过迟播种？

不宜:为什么马铃薯不宜过早过迟播种？播种过早为什么马铃薯不宜过早过迟播种？马铃薯的种植主要是由于气候条件的限制，过早出苗后容易遇到低温被冻死，种植晚了容易遇到干旱和高温，影响产量。马铃薯种植时间的早晚必须根据种植地方的气候条件来确定。马铃薯生长:-马铃薯

疫情愈发严重，原油为何反而大涨？

原油愈发:疫情愈发严重，原油为何反而大涨？疫情愈发严重和原油大涨没有必然关系。但是资金总是从高处流向低处，原油价格跌的越多，投资价值越明显，相对于其他产业更有投资价值。举个例子：深圳南山房价均价大约6万左右，宝安均价5万左右，如果南山房价涨到:-疫情

生菜球很好吃，怎么种植才能高产呢？

种植:生菜球很好吃，怎么种植才能高产呢？高产对环境条件的要求、1.温度生菜球为喜冷凉、忌高温作物，种子在4度以上可发芽、以15～20度为发芽适温。幼苗能耐较低温度，日平均温度12度时生长壮健，叶球生长最适温度为13～16度。不过目前有些结球生菜:-生菜

装修高手来帮忙看下144平，套内122平，怎么三房改四房？？

看下这个户型三房改四房，改一个小房间，应该没有问题。△原户型图这个户型改四房，能改的方案比较多，但是修改以后是否好用，是一件值得考虑的事情。一、主卧室变为两个卧室可以将主卧室改为两个卧室，但是这样的改动占:-房改 122:装修高手来帮忙看下144平，套内122平，怎么三房改四房？？ 144

大家帮忙看看这个房子如果要砸墙的话，怎么改比较好？

房子:大家帮忙看看这个房子如果要砸墙的话，怎么改比较好？这个户型砸墙，当然可以砸墙，但是在砸墙之前，要搞清楚为什么要砸墙，砸墙以后有什么优劣。△原户型原户型图上的白色墙体部分不是承重墙，理论上说否可以砸掉。但是外墙和与旁边户型或者是公共区域的共用墙体和图上:-帮忙

意蜂夏季喝什么水降温？

降温意蜂夏季喝什么水降温？气温高，蜂巢温度高的情况下，蜜蜂是通过采水的办法挂在蜂箱的四壁来蒸发带走热量，降低蜂巢温度同时也能帮助蜂群维持正常的湿度。在平常的情况下，蜜蜂是在室外采自然水的。夏季消耗的水量:-意蜂夏季:意蜂夏季喝什么水降温？

黄瓜种子催芽后种植需要打底水吗？

黄瓜种子:黄瓜种子催芽后种植需要打底水吗？你好很高兴回答这个问题。答案：不用。1-2天可出芽。黄瓜种子催芽：选用饱满的种子，用30℃水浸泡4小时后催芽。也可用100倍福尔马林溶液浸泡种子10-20分钟，洗净后清水浸种3-4小时，然后于25-3:-催芽黄瓜打底

书友们展示一下自我感觉发挥较好的作品，一起学习？

自我较好这幅作品是参赛的，色彩的搭配，纸张的拼接都是自己设计完成的，一如既往的清新淡雅感觉。书体用的魏碑中楷书，增加了书写的趣味性。:-书友展示:书友们展示一下自我感觉发挥较好的作品，一起学习？