Exploit for Expression Language Injection in Atlassian Confluence Server CVE-2021-26084

## https://sploitus.com/exploit?id=BF930E9B-ED2F-52A3-87ED-2082926ED9B1
# CVE-2021-26084
# confluence远程代码执行RCE

## Code By:Jun_sheng @橘子网络安全实验室

橘子网络安全实验室 https://0range.team/

#### 0x00 风险概述

本工具仅限授权安全测试使用,禁止未授权非法攻击站点

在线阅读[《中华人民共和国网络安全法》](http://wglj.pds.gov.cn//upload/files/2020/4/1415254915.docx)

#### 0x01 工具使用

批量RCE脚本请将URL导入url.txt

单站点RCE请使用下面的命令：

　　python confluence_rce.py -u url -c cmd或python confluence_rce.py --url url --command cmd
  
　　使用shell功能请增加"--shell"参数

#### 0x02 Bug问题

Bug请提交Issues，有时间会看的。

#### 0x03 发现已知Bug

1. 批量脚本执行时回显不正确，暂时未找到修复方法
2. 对偶尔出现的命令回显查找时出现列表越界问题进行修复

#### 0x04 内容更新

1. 增加模拟shell功能，对发现网站漏洞的同时可以执行除预设探测命令外的命令