Kali挖PHP漏洞：Hexorbase多数据库连接教程

本文澄清了一个常见误解：HexorBase 并非用于挖掘 PHP 漏洞的工具，而仅是一个老旧的图形化数据库客户端，仅在已获取有效凭证和远程访问权限后，用于浏览数据库内容；它不解析PHP代码、不扫描漏洞、不支持反序列化或SQL注入利用，对MySQL 8.0+认证兼容性差，更无法替代真正的漏洞探测手段——如配置文件扫描、错误信息分析、sqlmap自动化测试或手工构造PoC。想高效发现PHP中的数据库类漏洞，关键在于理解应用逻辑、善用专业工具链，并认清GUI管理器在渗透流程中仅处于“战果查看”末端的真实定位。

HexorBase 不是为“挖 PHP 漏洞”设计的工具

HexorBase 是一个图形化数据库连接管理器，主要面向 MySQL、PostgreSQL、Oracle 等传统关系型数据库，它不解析 PHP 代码、不扫描 Web 漏洞、也不支持 PHP 反序列化或 RCE 利用链构造。所谓“用 HexorBase 管理 PHP 多数据库连接洞”，本质是混淆了两个层面：一是 PHP 应用层的数据库连接逻辑（如硬编码凭证、未过滤的 mysqli_connect() 参数），二是数据库客户端工具的连接能力。

如果你在 PHP 代码里看到类似 mysqli_connect($_GET['host'], $_GET['user'], $_GET['pass']) 这种写法，那确实是漏洞（数据库连接参数可控），但验证和利用它，靠的是手动构造 HTTP 请求或写 PoC 脚本，不是靠 HexorBase 点几下就能“管理漏洞”。

真正能测 PHP 数据库类漏洞的常用方式

对 PHP 应用中数据库相关漏洞（如 SQL 注入、数据库连接注入、凭证泄露）的实操路径如下：

• 用 gobuster 或 ffuf 扫描常见配置文件路径，重点找 /config.php、/inc/db.php、/.git/config —— 很多 PHP 项目把数据库密码直接写在里面
• 检查响应头和页面源码中是否回显 mysql_connect()、PDO::__construct() 的错误信息，开启 display_errors = On 的 PHP 环境常暴露 Access denied for user 'xxx'@'%' using password: YES
• 对登录/搜索等带参数的接口，用 sqlmap -u "http://target/search.php?q=1" --batch --level=5 测试 SQL 注入；注意加 --dbms=mysql 或 --dbms=postgresql 明确后端类型
• 若发现数据库连接参数被拼接到 mysqli_connect() 中（比如 host 来自 GET），可手工构造请求：?host=127.0.0.1%23&user=root&pass=123，利用 MySQL 的 # 注释绕过后续校验

HexorBase 在这个过程里唯一能做的事

它只在你已经拿到数据库访问权限（比如通过 SQL 注入读到 mysql.user 表，或从配置文件里抄到账号密码）之后，用来图形化连接并浏览数据 —— 属于“战果查看阶段”，不是“漏洞挖掘阶段”。

使用前提很具体：

• 目标数据库必须允许远程连接（bind-address = 0.0.0.0 且防火墙放行 3306/5432 等端口）
• 你得有有效凭证：用户名、密码、IP、端口、数据库名 —— HexorBase 不帮你爆破、不帮你解密、不自动提取
• Kali 中安装后启动命令是 hexorbase，首次运行会提示创建 workspace，连接时选对应 DB 类型，填字段即可；但一旦目标禁用 root 远程登录或启用了 SSL 强制认证，它就连不上

容易被忽略的现实约束

很多初学者以为“装了 HexorBase 就能连上所有 PHP 系统的库”，实际上：

• 现代 PHP 应用普遍用 PDO + prepared statement，根本不会让 SQL 注入走到数据库连接层；所谓的“连接洞”在 Laravel、ThinkPHP 等框架里几乎不存在
• 即使找到 config.php，密码也可能是加密的（如 Laravel 的 APP_KEY 加密 env 值），HexorBase 完全不处理解密逻辑
• Kali 默认不预装 HexorBase，需手动下载 deb 包安装，且它多年未更新，对 MySQL 8.0+ 的 caching_sha2_password 认证方式支持不稳定，常报错 Authentication plugin 'caching_sha2_password' cannot be loaded

真要批量管理多个数据库连接，mysql -h host -u user -p 配 alias 或写 shell 脚本，比依赖一个停止维护的 GUI 工具更可靠。

到这里，我们也就讲完了《Kali挖PHP漏洞：Hexorbase多数据库连接教程》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！