(Python)cPickle反序列化漏洞

最新推荐文章于 2024-03-26 09:23:24 发布
VIP文章 最新推荐文章于 2024-03-26 09:23:24 发布
阅读量3.6k 收藏 4
点赞数 2
分类专栏: Web安全 漏洞 文章标签: cPickle反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ski_12/article/details/85015803
版权

基本概念

Python中有个库可以实现序列化和反序列化操作,名为pickle或cPickle,作用和PHP的serialize与unserialize一样,两者只是实现的语言不同,一个是纯Python实现、另一个是C实现,函数调用基本相同,但cPickle库的性能更好,因此这里选用cPickle库作为示例。

cPickle可以对任意一种类型的Python对象进行序列化操作。下面是主要的四个函数:

cPickle.dump():将Python对象序列化保存到本地的文件中。

cPickle.load():载入本地文件,将文件内容反序列化为Python对象。

cPickle.dumps():将Python对象序列化为字符串。

cPickle.loads():将字符串反序列化为Python对象。

简单示例:

先创建Person类对象并初始化,然后将其序列化并输出,可以看到是C解释过的内容:

最低0.47元/天 解锁文章
Mi1k7ea
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python使用cPickle模块序列实例
12-24
本文实例讲述了python使用cPickle模块序列的方法,分享给大家供大家参考。 具体方法如下: import cPickle data1 = ['abc',12,23] #几个测试数据 data2 = {1:'aaa',"b":'dad'} data3 = (1,2,4) output_file = open("a.txt",'w') cPickle.dump(data1,output_file) cPickle.dump(data2,output_file) cPickle.dump(data3,output_file) output_file.close() input_file
pickle 序列漏洞浅析
Derait的博客
08-07 987
pickle 序列漏洞浅析 Pickle库及函数 pickle是python语言的一个标准模块,实现了基本的数据序列序列。 pickle模块是以二进制的形式序列后保存到文件中(保存文件的后缀为.pkl),不能直接打开进行预览。 函数 说明 dumps 对象序列为bytes对象 dump 对象序列到文件对象,存入文件 loads 从bytes对象序列 load 对象序列,从文件中读取数据 先通过几个例子来看下这几个函数的作用: dump/load
CTF题型 Python中pickle序列进阶利用&opcode绕过
最新发布
qq_39947980的博客
03-26 1361
Python 的 opcode(operation code)是一组原始指令,用于在 Python 解释器中执行字节码。在 Python 中,源代码首先被编译为字节码,然后由解释器逐条执行字节码指令。每个 opcode 都有其特定的功能,用于执行不同的操作,例如变量加载、函数调用、数值运算、控制流程等。因此os中o可以存在,但是单独的o是被禁止的,因为os被替换成Os,但对后续ser_data不影响。构造方法,在序列的时候自动执行,类似于php中的_功能:从string中读出序列前的obj对象。
pythoncPickle用法
热门推荐
怒河春醒
03-28 3万+
python中,一般可以使用pickle类来进行python对象的序列,而cPickle提供了一个更快速简单的接口,如python文档所说的:“cPickle – A faster pickle”。cPickle可以对任意一种类型的python对象进行序列操作,比如list,dict,甚至是一个类的对象等。而所谓的序列,我的粗浅的理解就是为了能够完整的保存并能够完全可逆的恢复。在cPickl
Python学习(十五)——使用cPickle读取和保存数据
akadiao的博客
10-08 1686
使用cPickle进行数据的读取与保存 dump()函数接受一个文件句柄和一个数据对象(列表 元组 字典 类对象等)作为参数,把数据对象保存到文件中。 使用load()函数从文件中读取数据时,pickle可以恢复数据本来的格式。例: list/dict等的保存与读取 list:保存:lis = [1,132, 98,'ABS'] cPickle.dump(lis, open("list.pk
pickle.load()和pickle.dump()
MasterCayman的博客
08-06 2万+
python的pickle模块实现了基本的数据序列序列。 pickle.dump(obj, file, [,protocol]) 注: 将对象obj保存到文件file中去。 protocol为序列使用的协议版本, 0:ASCII协议,所序列的对象使用可打印的ASCII码表示; 1:老式的二进制协议; 2:2.3版本引入的新二进制协议,较以前的更高效。 protocol默认值为0,如果protocol>=1,文件对象需要是二进制模式打开的。 pickle.load(fi.
PythoncPickle用法
恋梦轩
10-10 2万+
序列就是通过特殊的方法将数据存储到相应存储区的过程, 序列就是依据数据序列时的规则进行向执行, 以取出原数据的过程。在编写程序的过程中, 我们有时需要将数据进行序列序列的操作, 本篇博客旨在阐述序列序列的作用及举例说明几个常用方法的使用。
cPickle.load()产生的相关问题
cc__cc__的博客
10-22 1765
使用Anaconda3(python3.6.5) 1)import cPickle出现问题 解决:on python3.x cPickle has changed from cPickle to _pickle. import _pickle as cPickle 2)出现错误: ‘ascii’ codec can’t decode byte 0x8b in position 6: ordin...
pickle.load函数
YJZ555的博客
10-01 2987
pickle.load()函数
pythoncPickle类使用方法详解
12-25
python中,一般可以使用pickle类来进行python对象的序列,而cPickle提供了一个更快速简单的接口,如python文档所说的:“cPickle – A faster pickle”。 cPickle可以对任意一种类型的python对象进行序列操作...
Python 序列 pickle/cPickle模块使用介绍
01-20
Python序列的概念很简单。内存里面有一个数据结构,你希望将它保存下来,重用,或者发送给其他人。你会怎么做?这取决于你想要怎么保存,怎么重用,发送给谁。很多游戏允许你在退出的时候保存进度,然后你再次启动...
pythoncPickle用法例子分享
12-25
python中,一般可以使用pickle类来进行python对象的序列,而cPickle提供了一个更快速简单的接口,如python文档所说的:“cPickle — A faster pickle”。 cPickle可以对任意一种类型的python对象进行序列操作...
cPickle.load和cPickle.dump
tutuerwang的博客
08-02 3015
加载和存储数据: 有些training set 数据是用.pkl 文件存储的。用module cPickle读取非常方便。 #加载cPickle模块import cPickle 常用的命令有以下两个: pickle.dump(obj, file[, protocol]) pickle.load(file) 例如 #加载数据集f = gzip.open('m
pickle.load()的那些事
LBJZeus的博客
09-08 1万+
python3中进行数据的加载与在python2中不同,在python2中通过import urllib; urllib.load()进行数据的加载,但是python3中通过import pickle;pickle.load()进行数据的加载,但是在进行数据的加载需要注意一些地方,例如:我在运行程序的时候就碰到过如下的问题: pickle.load()如果不添加encoding参数,会默认...
【琐碎】Python3安装/运行cPickle以及cPickle的使用
...
05-10 1万+
1 Python3安装/运行cPickle 运行报错,缺失cPickle包,一般这种情况,直接pip安装即可,但是这次有点特殊,我用的py3.8环境import cPickle是py2.x环境导入包的命令,在py3.x环境中不能直接导入,应该采取如下形式导入import _pickle as cPickle,改成这种导入形式之后便可成功运行 这个是我在py3环境下安装cPickle的时候报错的截图 2 cPickle的使用 主要是cPickle.dump()和cPickle.load()两个命令,分别起到
pickle cPickle使用
zhe_csdn的博客
05-18 2187
python2中: cPickle只是pickle的C编译版本,用法几乎相同 python3: cPickle模块已经被移除,即只剩下pickle模块 一、dump()方法 pickle.dump(obj, file, [,protocol]) 注释:序列对象,将对象obj保存到文件file中去。参数protocol是序列模式,默认是0(ASCII协议,表示以文本的形式进行序列),proto...
python3 中_pickle (cPickle序列 (Serialization)
tcy-阿春
02-05 1189
1.1.概述: 序列是将对象的状态信息转换为可以存储或传输的形式的过程 1.2.cPickle与pickle 二者的功能几乎完全一致接口完全一样(不一样的很少使用到) 区别:cPickle用C语言编写, 执行速度比pickle快 1000倍 1.3.说明: pickle可把python对象直接保存到文件,而不需要把它们转成字符串, 也不用底层的文件访问操作把它们写入到一个二进制文件里。 pickle会创建一个 python 语言专用的二进制格式。 .
python cPickle
08-23
python中的cPickle是一个用于对象序列的模块,它提供了比普通的pickle模块更快和更简单的接口。cPickle可以对任意类型的python对象进行序列操作,并将其保存到文件或者通过网络传输。与pickle模块相比,cPickle...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值