Python 序列化与反序列化

ladysosoli 2020-02-13

序列化是为了将内存中的字典、列表、集合以及各种对象,保存到一个文件中(字节流)。而反序列化是将字节流转化回原始的对象的一个过程。

json库

序列化:json.dumps()

反序列化:json.loads()

只能处理字典、列表这些简单的序列化与反序列化。

pickle库

处理复杂的序列化与反序列化。

pickle.dumps()

pickle.loads()

只要函数名一样。

序列化.py

import pickle

def PoC():
	print("这是Python序列化程序代码")

data = {
	‘method‘:‘GET‘,
	‘path‘:‘/index‘,
	‘other‘:PoC
}

with open("data.txt",‘wb‘) as f:
	f.write(pickle.dumps(data))

反序列化.py

import pickle

def PoC():
	print("这是Python反序列化程序代码")


f = open("data.txt",‘rb‘)
data = pickle.loads(f.read())
data[‘other‘]()

从输出的结果上看,只要函数名相同就会去执行里面的代码。

Python 序列化与反序列化

修改PoC函数中的代码,改成打开计算器的,运行后发现可以弹窗计算器。

Python 序列化与反序列化

ladysosoli

ladysosoli

相关推荐

golang的序列化与反序列化的几种方式

golang用来序列化的模块有很多,我们来介绍3个。首先登场的是json,这个几乎毋庸置疑。"Where": "东方地灵殿",当然golang的大小写我们知道是具有含义的,如果改成小写, 那么该字段是无法被序列化的。

Lzs / 0评论 2020-10-23

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl / 0评论 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf / 0评论 2020-08-03

21天学习python编程_pickle模块序列化与反序列化

如果看完这篇文章,你还是弄不明白pickle操作;你来找我,我保证不打你,我给你发100的大红包。pickle模块实现了用于序列化和反序列化Python对象结构的二进制协议;序列化:将Python对象转成字节流;反序列化:将字节流转成Python对象;JS

葫芦小金刚 / 0评论 2020-07-22

Redis

RedisTemplate redisTemplate = new RedisTemplate();ObjectMapper objectMapper = new ObjectMapper();return redisTemplate;

ericdoug / 0评论 2020-07-18

Linux编程:--项目应用层协议设计和序列化与反序列

而不是说客户端和服务器端之前?主流序列化协议主流序列化协议:XML 指可扩展标记语言。

Erick / 0评论 2020-06-25

关于对象序列化

序列化是指将对象转换成可传输或可存储的形式的过程。常见的如文件存储,网络传输。不同的序列化方式得到的结果也不近相同。反序列化使用存储或传输内容重新创建对象的过程。但直观和通用的同时也带来了性能差的缺点。信息冗余了很多,键值对方面,会有重复的key值。我们就

Erick / 0评论 2020-06-17

297. 二叉树的序列化与反序列化.

序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传输到另一个计算机环境,采取相反方式重构得到原数据。请设计一个算法来实现二叉树的序列化与反序列化。这里不限定你的序列 / 反序列化算法

aanndd / 0评论 2020-06-16

【序列化与反序列化】Java原生 & Hessian & protobuf

"); //写入字面值常量。System.out.println; //读取字面值常量。Customer obj3 = in.readObject(); //读取customer对象。// 序列化public static &

Erick / 0评论 2020-06-17

[Notes] 2020.6.16 每日一题 二叉树的序列化与反序列化

序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传输到另一个计算机环境,采取相反方式重构得到原数据。请设计一个算法来实现二叉树的序列化与反序列化。这与 LeetCode 目前使用的方

aanndd / 0评论 2020-06-16

详解php反序列化

“所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。”在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据

xuebingnan / 0评论 2020-06-13

fastjson<=1.2.47-反序列化漏洞-命令执行-漏洞复现

  Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。并且在Fastjson 1.2.47及以下版本中,利用

80337960 / 0评论 2020-06-10

DJango反序列化器的参数效验

serializer = UserSerializer# 传入对象集时需指定many=True. 在序列化器字段中加入validator选项参数,为列表形式,值为函数名。②调用save时,如果有传instance实例,则调用update方法更新数据,否则调

Jerry / 0评论 2020-06-01

python json and pickle

import json,picklejson.dumps()#序列化,字典转换成字符串,只dumps一次json.loads()#反序列化,字符串转换字典pickle.dumps()#序列化,转换成2进制pickle.loads()pickle.dump#

mengdg000 / 0评论 2020-05-29

RedisTemplate 序列化问题

spring-data-redis RedisTemplate 操作redis时发现存储在redis中的key不是设置的string值,前面还多出了许多类似\xac\xed\x00\x05t\x00;

尹小鱼 / 0评论 2020-05-29

ListJson序列化与反序列化特定类型--Unity版

在github上有项目网址,下载新的release版本。在Unity中创建Plugins文件夹,把下好的dll文件放入到Plugins文件夹中既可以了。支持C#中几乎所有的类型。但Unity中的例如Vector2、3,Quaternion以及Matrix4

somebodyoneday / 0评论 2020-05-15

Shiro反序列化漏洞检测、dnslog

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode(). encryptor = AES.new(base64.b64decode(key), mode, iv).

visionzheng / 0评论 2020-05-05

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie. python shiro_shell.py

visionzheng / 0评论 2020-05-04

php反序列化漏洞-咖面Amber

echo ‘Person: ‘.$this->name.‘is ‘.$this->age.‘years old <br/>‘;序列化一个对象将会保存对象的所有变量, 但是不会保存对象的方法,只会保存类的名字。php反序列化漏洞又称对

igogo00 / 0评论 2020-05-03

序列化与反序列化

"}\n";List value = (List) map.get(key);System.out.println("key:" + key);Gson gson = new Gson();LoggerSwitch

nalanrumeng / 0评论 2020-05-02

json反序列化的时候字符串为单引号的一个坑

最后终于找到了原因,这里记录一下。我们都知道,python内置函数 repr 可以打印出数据原生的面貌,我们来看一下前端同事传过来的json数据长什么样:。网上查了一下资料:json在进行反序列化的时候是不支持单引号的!因此我们需要将前端传过来的单引号的数

xiaoxiaoniaoer / 0评论 2020-04-26

PHP反序列化漏洞总结

  做了不少PHP反序列化的题了,是时候把坑给填上了。参考了一些大佬们的博客,自己再做一下总结。  在了解序列化和反序列化之前,先简单了解一下PHP的面向对象。  万物皆可对象。根据官方手册,PHP中,以关键字class定义一个类,一个类可以包含有属于自己

Skyline / 0评论 2020-04-25

python对象的序列换与反序列化

有s1 = Student,将s1序列化为json:

周小董 / 0评论 2020-04-19

Python代码审计实战案例总结之反序列化和命令执行!

Python代码审计方法多种多样,但是总而言之是根据前人思路的迁移融合扩展而形成。目前Python代码审计思路,呈现分散和多样的趋势。Python微薄研发经验以及结合实际遇到的思路和技巧进行总结,以便于朋友们的学习和参考。反序列化漏洞在Python代码审计

fly00love / 0评论 2020-04-16

Protobuf通信协议

  对于单独部署,独立运行的微服务实例而言,在业务需要时,需要与其他服务时行通信,这种通信方式是进程之间的通讯方式。  IPC有两种实现方式,分别为:同步过程调用、异步消息调用。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为

Charlesbases / 0评论 2020-04-16

Hadoop之序列化

即Java的原生序列化机制是没有做到跨语言或者跨平台传递使用

csdnhadoop / 0评论 2020-04-16

ProtoBuf及整合到SpringBoot

Protobuf是Google公司开发的一种跨语言和平台的序列化数据结构的方式,是一个灵活的、高效的用于序列化数据的协议。protobuf是跨语言的,并且自带一个编译器,只需要用protoc进行编译,就可以编译成Java、Python、C++、C#、Go等

mitesi / 0评论 2020-04-07

Python 序列化与反序列化

很多程序都需要用户输入某种信息,如让用户存储游戏首页项或者提供可视化的数据。json模块让你能够将简单的python数据结构转存到文件中,并在程序再次运行时加载该文件中的数据。更为重要的是,Json数据格式并非python专用,这让你能够将json格式存储

taiyangshenniao / 0评论 2020-04-06

[极客大挑战]PHP——目录泄露+反序列化

echo "</br>hello my friend~~</br>sorry i can‘t give you the flag!";flag.php里面是个假flag。类销毁的时候执行,只有username为a

aaLiweipeng / 0评论 2020-03-27

java序列化与反序列化

先描述下这里的业务:我们有一个父类A,多个继承A的AA类、AB类、AC类,多了一些不同的业务字段。甲端封装好对应的参数后,传递给乙端进行解析时。json无法直接转成对应的AA、AB、AC实现类。其中的业务字段会丢失。这就是疑问的地方???这里我们比较了一下

ITprivate / 0评论 2020-03-26

Java编程的逻辑 (63) - 实用序列化: JSON/XML/MessagePack

我们先来简单了解下这些格式以及Jackson。XML/JSON都是文本格式,都容易阅读和理解,格式细节我们就不介绍了,后面我们会看到一些例子,来演示其基本格式。要使用Jackson,需要下载相应的库。对于JSON/XML,本文使用2.8.5版本,对于Mes

hawk / 0评论 2020-03-24

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。安装docker环境,方法自行百度。生成的工具在target/目录下ysoserial-0.0.6-SNAPSHOT-all.jar文件。浏览器访问,出现以下页面则证明环境

chenjia00 / 0评论 2020-03-23

Hessian 反序列化及相关利用链

Apache Dubbo还支持很多协议,例如Dubbo、Hessian、Rmi、Http等。Apache Dubbo是远程调用框架,既然Http方式的远程调用传输了序列化的数据,那么其他协议也可能存在类似问题,例如Rmi、Hessian等。之前也没比较完整

xclxcl / 0评论 2020-03-01

微服式务分布云构架-SpringBoot整合Redis 对象序列化操作

虽然上一文章的代码实现了 Redis 基础的数据操作,但是遗憾的是在 Java 开发领域内必须要考虑一个实际的问题,那么就是对象 的序列化保存问题,毕竟 Redis 数据库的读写速度是非常快的,但是如果不能够进行对象的存储,这样的存储意义就不大了,这样 就

lovefef / 0评论 2020-02-26

序列化类外键字段的覆盖,十大接口序列化总结,视图家族

# 群整体改接口,request.data是列表,且可以分离出pks,转换成user_queryset. 1)初始化序列化类,设置partial=True可以将所有反序列化字段的 required 设置为 False,可以运用在局部修改接口。2)初始化序列

DAV数据库 / 0评论 2020-02-21

序列化组件三,视图函数家族

# fields = [‘name‘, ‘price‘, ‘image‘, ‘publish‘, ‘authors‘, ‘publish_name‘, ‘author_list‘]. ‘publish‘: { # 系统原有的外键字段要留给反序列化过程使用

鲁氏汤包王 / 0评论 2020-02-21

DRF(Django Rest Framework)序列化组件接口使用和接口设计--!GET接口设计!

定义序列化器,一般包括模型类的字段,有自己的字段类型规则。实现了序列化器后,就可以创建序列化对象以及查询集进行序列化操作,通过序列化对象.data来获取数据。#创建一个方法必须 :get_字段名,并传入一个对象。

明瞳 / 0评论 2020-02-17

python序列化模块

#json格式: ‘{"k1":"v1"}‘ , 外面是一个单引号,内部的所有字符串都要使用双引号引起来。json.dump #序列化, ensure_ascii为False时,中文字符写入文件中后仍为中文。f=o

JakobHu / 0评论 2020-02-14

DRF项目之通过业务逻辑选择数据集和序列化器

在REST后台开发中,我们需要通过业务逻辑来选择数据集或者序列化器。通过前段传递过来的keyword选择指定数据集。我们只需要在API视图中重写以上两个方法即可达到目的。

KaiZhaoKZ / 0评论 2020-02-14

漏洞复现 - ActiveMQ反序列化漏洞(CVE-2015-5254)

消息服务将消息放在队列/主题中,在合适时候发给接收者。发送和接收是异步的。ActiveMQ是美国阿帕奇软件基金会所研发的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ 5.13.0之前

方新德 / 0评论 2020-02-10

json pickle shelve

我们学习过用eval内置方法可以将一个字符串转成python对象,不过,eval方法是有局限性的,对于普通的数据类型,json.loads和eval都能用,但遇到特殊类型的时候,eval就不管用了,所以eval的重点还是通常用来执行一个字符串表达式,并返回

JamesRayMurphy / 0评论 2020-02-09

[原题复现]-HITCON 2016 WEB《babytrick》[反序列化]

= false && $obj->role == ‘admin‘ ) {. $sql = "INSERT INTO users VALUES , ";

Bellboy / 0评论 2020-01-31

PHP反序列化漏洞-CVE-2016-7124(绕过__wakeup)复现

最近电脑也不知怎么了时不时断网而且我竟然找不出原因!!!很诡异.... 其他设备电脑都OK唯独我的电脑 时好时坏 我仿佛摸清了我电脑断网的时间段所以作息时间都改变了 今天12点多断网刷了会手机陪家人取超市 看到小区门口都挺严格的进出要身份证 去超市还要测体

FCLAMP / 0评论 2020-01-30

浅谈php反序列化漏洞

关于php的反序列化漏洞要先说到序列化和反序列化的两个函数,即:serialize()和unserialize()。这样做的意义是为了将一个对象通过可保存的字节方式存储起来,同时就可以将序列化字节存储到数据库或者文本当中,当需要的时候再通过反序列化获取 。

amberom / 0评论 2020-01-24

内置模块(一)——序列化模块:json、pickle、shelve

  1、什么是序列化呢?    序列化的本质就是:将一种数据结构等转换成一个特殊的序列的过程就叫做序列化。    特别注意:特殊的序列,而不是我们常用的str这种字符串。    如果你写入文件中的字符串是一个序列化后的特殊的字符串,那么当你从文件中读取出来

Yasin / 0评论 2020-01-24

go-redis 基于beego正确使用序列化存储数据和反序列化获取数据

// if err != nil {. // if err != nil {. if err != nil {. ReadBuffer, _ := redis.Bytes(conn.Do("get", "atype"

lmseohy / 0评论 2020-01-11

彻底解决Spring mvc中时间的转换和序列化等问题

在使用Spring mvc 进行开发时我们经常遇到前端传来的某种格式的时间字符串无法用java8的新特性java.time包下的具体类型参数来直接接收。我们使用含有java.time封装类型的参数接收也会报反序列化问题,在返回前端带时间类型的同样会出现一些

林大夏 / 0评论 2020-01-06

61.序列化二叉树(python)

二叉树的序列化是指:把一棵二叉树按照某种遍历方式的结果以某种格式保存为字符串,从而使得内存中建立起来的二叉树可以持久保存。序列化可以基于先序、中序、后序、层序的二叉树遍历方式来进行修改,序列化的结果是一个字符串,序列化时通过 某种符号表示空节点(#),以

liugan / 0评论 2020-01-01

数据库事务隔离级别--读未提交,读已提交,重复读,序列化

上一篇文章讲述了:数据库主从复制,那么新的问题数据库读写分离对事物是否有影响?数据库事务的隔离级别有4个,由低到高依次为Read uncommitted、Read committed、Repeatable read、Serializable,这四个级别可能

愿天下再无BUG / 0评论 2019-12-30