HexorBase 是图形化数据库连接工具,仅用于已获权限后的数据浏览,不参与php漏洞挖掘;它不解析PHP代码、不扫描漏洞、不支持反序列化利用,且对mysql 8.0+认证兼容性差。
HexorBase 不是为“挖 PHP 漏洞”设计的工具
HexorBase 是一个图形化数据库连接管理器,主要面向 MySQL、postgresql、oracle 等传统关系型数据库,它不解析 PHP 代码、不扫描 Web 漏洞、也不支持 PHP 反序列化或 RCE 利用链构造。所谓“用 HexorBase 管理 PHP 多数据库连接洞”,本质是混淆了两个层面:一是 PHP 应用层的数据库连接逻辑(如硬编码凭证、未过滤的 mysqli_connect() 参数),二是数据库客户端工具的连接能力。
如果你在 PHP 代码里看到类似 mysqli_connect($_GET['host'], $_GET['user'], $_GET['pass']) 这种写法,那确实是漏洞(数据库连接参数可控),但验证和利用它,靠的是手动构造 http 请求或写 PoC 脚本,不是靠 HexorBase 点几下就能“管理漏洞”。
真正能测 PHP 数据库类漏洞的常用方式
对 PHP 应用中数据库相关漏洞(如 SQL 注入、数据库连接注入、凭证泄露)的实操路径如下:
- 用
gobuster或ffuf扫描常见配置文件路径,重点找/config.php、/inc/db.php、/.git/config—— 很多 PHP 项目把数据库密码直接写在里面 - 检查响应头和页面源码中是否回显
mysql_connect()、pdo::__construct()的错误信息,开启display_errors = On的 PHP 环境常暴露access denied for user 'xxx'@'%' using password: YES - 对登录/搜索等带参数的接口,用
sqlmap -u "http://target/search.php?q=1" --batch --level=5测试 SQL 注入;注意加--dbms=mysql或--dbms=postgresql明确后端类型 - 若发现数据库连接参数被拼接到
mysqli_connect()中(比如 host 来自 GET),可手工构造请求:?host=127.0.0.1%23&user=root&pass=123,利用 MySQL 的#注释绕过后续校验
HexorBase 在这个过程里唯一能做的事
它只在你已经拿到数据库访问权限(比如通过 SQL 注入读到 mysql.user 表,或从配置文件里抄到账号密码)之后,用来图形化连接并浏览数据 —— 属于“战果查看阶段”,不是“漏洞挖掘阶段”。
立即学习“PHP免费学习笔记(深入)”;
使用前提很具体:
- 目标数据库必须允许远程连接(
bind-address = 0.0.0.0且防火墙放行 3306/5432 等端口) - 你得有有效凭证:用户名、密码、IP、端口、数据库名 —— HexorBase 不帮你爆破、不帮你解密、不自动提取
- Kali 中安装后启动命令是
hexorbase,首次运行会提示创建 workspace,连接时选对应 DB 类型,填字段即可;但一旦目标禁用 root 远程登录或启用了 ssl 强制认证,它就连不上
容易被忽略的现实约束
很多初学者以为“装了 HexorBase 就能连上所有 PHP 系统的库”,实际上:
- 现代 PHP 应用普遍用 PDO + prepared statement,根本不会让 SQL 注入走到数据库连接层;所谓的“连接洞”在 laravel、thinkphp 等框架里几乎不存在
- 即使找到
config.php,密码也可能是加密的(如 Laravel 的app_KEY加密 env 值),HexorBase 完全不处理解密逻辑 - Kali 默认不预装 HexorBase,需手动下载 deb 包安装,且它多年未更新,对 MySQL 8.0+ 的 caching_sha2_password 认证方式支持不稳定,常报错
Authentication plugin 'caching_sha2_password' cannot be loaded
真要批量管理多个数据库连接,mysql -h host -u user -p 配 alias 或写 shell 脚本,比依赖一个停止维护的 GUI 工具更可靠。