刚做PHP代码审计不久，之前有听说过unserialize的问题，不过都没有仔细去深入研究过。正好这段时间在审计某系统的时候看到了使用unserialize函数，便花了点时间去研究了下。同时也特别感谢下在过程中给我提供不少帮助的黑哥黑友们。
 
unserialize函数功能和用法就没必要详细说了，毕竟这个不是本文的重点，而且官方的手册专业了点，有点难懂。不了解的朋友可以自信先去baidu搞清楚serialize和unserialize到底是干什么的。
 
unserialize函数是PHP中使用率非常高的函数，但不正当使用unserialize将导致比较严重的安全隐患。首先我们来看个例子：
 
//test.php
 
<?php
class Example {
var $var = '';
function __destruct() {
eval($this->var);
}
}
unserialize($_GET['code']);
?>
如上代码就是一个典型的问题，如果我们能提交数据给unserialize函数进行反序列化，并且unserialize函数所在程序能调用Example类的话我们就可成功的利用了。以上代码是将class和unserialize函数写在同一个文件中，实际的如果是unserialize函数所在页面include了Example所在程序一样。
 
如上代码我们可以直接提交()";} 就执行了phpinfo()。
 
但在实际的应用当中却不是那么容易的，以上代码只是我们意愿中的程序流程，要能成功利用unserialize函数来GetShell还是有很多条件限制的，一下就是限制条件，也是个人理解，有错误的地方还希望读者能指出。
 
userialize函数的利依赖于自定义普通类中的解析函数__destruct()，该函数在新建类的对象的时候会自动的调用。因此unserialize的利用也就依赖于类，不适用于函数。在类中若有其他在新建类对象的时候会自动调用的函数均可利用。
 
总结下来就是unserialize的成功利用首先要能调用自定义类，并且在类中有对象创建时候自动调用的Magic Methods，最重要的还是要这些Magic Methods中有可利用代码或者程序流程，如上的代码在__destruct()中就有个eval函数，当然这里也可以是其他的，例如fwrite fputs等等危险函数。若以上条件都具备的话也大可不用担心变量值的问题，类中那些变量完全可以自定义了！如上的Exp中我们就把var这个变量值赋成phpinfo()。
 
以上都是个人对unserialize利用的理解了，有错误的地方还希望大家能指出讨论。对unserialize笔者也只是肤浅的了解了下，深入的还有待和其他有经验的大大们交流