Python反序列化

最新推荐文章于 2024-04-15 10:53:19 发布
最新推荐文章于 2024-04-15 10:53:19 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 技术干货
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/117442243
版权 
更多渗透技能  欢迎搜索公众号:白帽子左一

一、Python反序列化

与PHP存在反序列化一样

Python也存在反序列化漏洞、并且Python反序列化更加强大

除了能反序列化当前代码中出现的类(包括import引入的模块中的类)

还能反序列化types创建的匿名对象!

二、Python反序列化高危模块

marshal

PyYAML

pickle和cpickle

shelve

unzip

对高危模块的分析

1.marshal

特点

1.不是一个通用的“持久性”模块;

2.主要用于读取和编写.pyc文件的Python模块的“伪编译”代码。

3.并不是所有的Python对象类型都被支持;通常,只有值与特定的Python调用的对象无关才能被这个模块编写和读取。支持以下类型:布尔值、整数、浮点数、复数、字符串、字节、字节数组、元组、列表、集合、frozenset(不可变集合)、字典和代码对象。单独的None、Ellipsis和StopIteration也可以编组和解组。对于低于版本3的格式,递归列表、集合和字典不能编写

使用

marshal.dump(value,  file[,  version])

将值写入到一个打开的输出流里。参数value表示待序列化的值。file表示打开的输出流。

如:以”wb”模式打开的文件,sys.stdout或者os.popen。

对于一些不支持序列类的类型,dump方法将抛出ValueError异常。

但也会将垃圾数据写入文件。

该对象将不能通过load()来正确读取。

 marshal.load(file)

从打开的文件中读取值并返回它。

如果没有读取有效的值(例如,因为数据具有不同的Python版本的不兼容的编组格式),会引发EOFError、ValueError或TypeError错误。

文件必须是可读的二进制文件。

注意,如果一个包含不支持类型的对象被编组了dump(), load()将会用None代替unmarshallable类型。

marshal.dumps(value[,  version])

返回将被转储(值、文件)写入文件的字节对象。

该值必须是受支持的类型。

如果值有(或包含有)不支持类型的对象,则抛出ValueError异常。

marshal.loads(bytes)

将bytes样对象转换为值。

如果没有找到有效值,会引发EOFError、ValueError或TypeError错误。

输入中的额外字节被忽略。

2.PyYAML

特点

1.YAML是专门用来写配置文件的语言

2.大小写敏感

3.使用缩进表示层级关系

4.缩进时不允许使用Tab键,只允许使用空格。

5.缩进的空格数目不重要,只要相同层级的元素左侧对齐即可

6.# 表示注释,从这个字符一直到行尾,都会被解析器忽略,这个和python的注释一样

7.列表里的项用"-“来代表,字典里的键值对用”:"分隔

8.支持的数据结构

  1、对象:键值对的集合

  2、数组:一组按次序排列的值,序列(sequence)或列表(list)

  3、纯量(scalars):单个的、不可再分的值,如:字符串、布尔值、整数、浮点数、Null、时间、日期

使用

yaml.load("""

… - Hesperiidae

… - Papilionidae

… - Apatelodidae

… - Epiplemidae

… “”")

[‘Hesperiidae’,‘Papilionidae’,‘Apatelodidae’,‘Epiplemidae’]

yaml.load函数的作用是用来将YAML文档转化成Python对象;

yaml.load 函数可以接受一个表示YAML文档的字节字符串、Unicode字符串、打开的二进制文件对象或者打开的文本文件对象作为参数。

若参数为字节字符串或文件,那么它们必须使用 utf-8 、utf-16 或者 utf-16-le 编码。

yaml.load会检查字节字符串或者文件对象的BOM(byte order mark)并依此来确定它们的编码格式。

如果没有发现 BOM ,那么会假定他们使用 utf-8 格式的编码。

注意:如果要load Python的实例,需要在字符串前加入标签!!python/object

>>>classPerson:

...def __init__(self, name, age, gender):

...         self.name = name

...         self.age = age

...         self.gender = gender

...def __repr__(self):

...return f"{self.__class__.__name__}(name={self.name!r}, age={self.age!r}, gender={self.gender!r})"

...

>>> yaml.load("""

... !!python/object:__main__.Person

... name: Bob

... age: 18

... gender: Male

... """)

Person(name='Bob', age=18, gender='Male')

如果字符串或者文件中包含多个YAML文档,

那么可以使用 yaml.load_all函数将它们全部反序列化,

得到的是一个包含所有反序列化后的YAML文档的生成器对象:

>>> documents ="""

... name: bob

... age: 18

... ---

... name: alex

... age: 20

... ---

... name: jason

... age: 16

... """

>>> datas = yaml.load_all(documents)

>>> datas

<generator object load_all at 0x105682228>

>>>for data in datas:

...print(data)

...

{
   'name':'bob','age':18}

{
   'name':'alex','age':20
最低0.47元/天 解锁文章
zkzq
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PyTorch随笔 - 获取TensorRT(TRT)模型输入和输出
Mystra
09-16 6012
获取TensorRT(TRT)模型输入和输出,用于创建TRT的模型服务使用,具体参考脚本check_trt_script.py,如下: 脚本输入:TRT的模型路径和输入图像尺寸 脚本输出:模型的输入和输出结点信息,同时验证TRT模型是否可用 #!/usr/bin/env python # -- coding: utf-8 -- """ Copyright (c) 2021. All rights reserved. Created by C. L. Wang on 16.9.21 """ import
python 反序列化
m0_62970186的博客
04-03 5348
python 反序列化
木马免杀代码之python反序列化分离免杀
最新发布
04-15 873
Cryptography是python语言中非常著名的加解密库,在算法层面提供了高层次的抽象,使用起来非常简单、直观,同时还保留了各种不同算法的低级别接口,保留灵活性我们知道加密一般分为对称加密(Symmetric Key Encryption)和非对称加密(Asymmetric Key Encryption)。各自对应多种不同的算法,每种算法又有不同的密钥位长要求,另外还涉及到不同的分组加密模式,以及末尾补齐方式。
YOLO v5 python版本TensorRT推理
kui9702的博客
05-10 1337
YOLO v5 TensorRT推理 #include "iostream" #include "NvInfer.h" #include <fstream> #include <sstream> #include <assert.h> #include <vector> #include <numeric> #include "opencv2/opencv.hpp" #include <algorithm> #include <m
【CV学习笔记】tensorrt加速篇centernet
Rex大居
06-01 1820
centernet后处理方法,基于cuda、tensorrt、gpu解码
【TRT】使用TensorRT进行分类模型推理
qq_30340349的博客
05-26 1572
使用TensorRT进行分类模型推理。
Python进行反序列化代码
baidu_15113429的博客
05-16 892
pickle.loads()可以直接进行反序列化,但是我们如果把代码通过json传输之后,怎么自己进行反序列化? 创建类: class SlotBool(Slot): ''' 布尔型 ''' def __init__(self, value, not_this=False, deny=False): super(SlotBool, self)...
浅析Python 序列化与反序列化
09-16
主要介绍了Python 序列化与反序列化的相关资料,文中讲解非常细致,代码帮助大家更好的理解和学习,感兴趣的朋友可以了解下
121-利用加载器以及Python反序列化绕过AV.pdf
09-20
利用加载器以及Python反序列化绕过AV 在网络安全领域中,利用加载器以及Python反序列化绕过AV是一种常见的攻击手法。为了绕过杀软的检测,攻击者可以使用加载器将Shellcode加载到内存中,并使用Python反序列化来...
Python中shelve序列化与反序列化
12-22
序列化/反序列化 将对象转换为可通过网络传输或可以存储到本地磁盘的数据格式(如:XML、JSON或特定格式的字节串)的过程称为序列化;反之,则称为反序列化 shelve shelve是一个简单的数据存储方案,类似key-value...
序列化与反序列化.zip
03-18
文档编写了序列化与反序列化的类,并附带了对应的XML文件,包括一个窗口按钮的触发演示,供大家学习。文档中代码主要有两个模块组成:    1.XmlSerialization:执行序列化和反序列化的类    2.serializeXML:需要序列化的对象格式,决定了生成XML格式的。
python反序列化-分离免杀1
08-03
免杀技术可以有很多种,如修改特征码,花指令,加壳,次编译,分离免杀,资源修改,在制作免杀的过程中往往需要结合使。python反序列化-分离免杀远程加载 shel
python3序列化与反序列化用法实例
09-22
主要介绍了python3序列化与反序列化用法,实例分析了Python3使用pickle模块针对字符串进行序列化操作的相关技巧,需要的朋友可以参考下
python版tensorrt推理
Thomas_Cai的记忆殿堂
01-25 1883
windows10/11场景下,在python中进行tensorrt推理加速实践,模型推理加速必备~
利用python版tensorRT导出engine【以yolov5为例】
热门推荐
z240626191s的博客
10-13 1万+
在介绍导出engine过程需要先介绍一下会遇到的相关术语。 1.建立logger:日志记录器 2.建立Builder:网络元数据 用于搭建网络的入口,网络的TRT内部表示以及可执行程序引擎都是由该对象的成员方法生成
使用Python API实现TRT版BN/hswish/Silu等算子
wq_0708的博客
11-18 1559
使用Python API实现TRT版BatchNorm算子BatchNorm定义TRT的Scale层定义Scale实现BN TensorRT未提供批量归一化层BatchNorm,但提供了更通用的Scale层。可以使用Scale层来实现BN层。 BatchNorm定义 BN[i,:]=in[i,:]−mean[i]var[i]+ϵ∗γ[i]+β[i] BN[i,:]=\frac{in[i,:]-mean[i]}{\sqrt{var[i]+\epsilon}}*\gamma[i]+\beta[i] BN[i,:
Web常见漏洞描述及修复建议
网络安全
05-02 2262
漏洞描述Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。修复建议代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
python反序列化
07-31
Python中的反序列化是指将序列化后的数据重新转化为原始的Python对象。在Python中,可以使用json模块的loads方法来进行反序列化操作。该方法可以将一个JSON字符串转化为对应的Python对象。 例如,如果有一个JSON...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值