shell bypass 403
a
����\��`n4����������������������@���s���d�Z�ddlZddlZddlZddlZddlZddlmZ�ddlm Z
m
Z
m
Z�ddlmZ�z
ddlmZ�ddlmZ�W�n*�ey����ddlmZ�ddlmZ�Y�n0�d Zd
Ze�d
ej�Ze�d
�Z
d
Z
e�
d�Z d:dd�Z dd��Z
dd��Z
dd��Z dd��Z!e"e
�e"d�B�Z#dd
��Z$d
d
��Z%d d ��Z&d!d"��Z'd#efd$d%�Z(d&d'��Z)d(d)��Z*d#efd*d+�Z+d,d-��Z,d;d/d0�Z-d1d2��Z.d<d4d5�Z/G�d6d7��d7e0�Z1G�d8d9��d9�Z2dS�)=z|
oauthlib.common
~~~~~~~~~~~~~~
This module provides data structures and utilities common
to all implementations of OAuth.
�����N)�quote�unquote� urlencode����)� get_debug)�randbits)�
SystemRandom)�
getrandbitsZ>abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789z_ !"#$%&\'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}z&([^&;]*(?:password|token)[^=]*=)[^&;]+z&%[^0-9A-Fa-f]|%[0-9A-Fa-f][^0-9A-Fa-f]zAABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_.-Zoauthlib����/c�����������������C���s:���t�|�t�r|��d�n|�}�t|�|�}�t�|�t�r6|��d�}�|�S��N�utf-8)�
isinstance�str�encode�_quote�bytes�decode)�s�safe��r����3/usr/lib/python3.9/site-packages/oauthlib/common.pyr���-���s
����
r���c�����������������C���s ���t�|��}�t|�t�r
|��d�}�|�S�r
���)�_unquoter
���r���r���)r���r���r���r���r���7���s����
r���c�����������������C���s,���t�|��}t|�}t|t�r
|S�|�d�S�d�S�r
���)�encode_params_utf8�
_urlencoder
���r���r���)�paramsZ
utf8_params�
urlencodedr���r���r���r���A���s
����
r���c�����������������C���sL���g�}|�D�]>\}}|��t|t�r(|�d�n|t|t�r>|�d�n|f��q|S�)ziEnsures that all parameters in a list of 2-element tuples are encoded to
bytestrings using UTF-8
r
���)�appendr
���r���r���)r���Zencoded�k�vr���r���r���r���J���s����
�r���c�����������������C���sL���g�}|�D�]>\}}|��t|t�r(|�d�n|t|t�r>|�d�n|f��q|S�)zfEnsures that all parameters in a list of 2-element tuples are decoded to
unicode using UTF-8.
r
���)r
���r
���r���r���)r���Zdecodedr
���r
���r���r���r����decode_params_utf8V���s����
�r ���z=&;:%+~,*@!()/?'$c�����������������C���sT���|�r,t�|��tks,d}t|t�|��t�|�f���t�|��r>td��tj|�dd�}t|�S�)a���Decode a query string in x-www-form-urlencoded format into a sequence
of two-element tuples.
Unlike urlparse.parse_qsl(..., strict_parsing=True) urldecode will enforce
correct formatting of the query string by validation. If validation fails
a ValueError will be raised. urllib.parse_qsl will only raise errors if
any of name-value pairs omits the equals sign.
z�Error trying to decode a non urlencoded string. Found invalid characters: %s in the string: '%s'. Please ensure the request/response body is x-www-form-urlencoded.z%Invalid hex encoding in query string.T��keep_blank_values)�setr����
ValueError�INVALID_HEX_PATTERN�search�urlparse� parse_qslr ���)�query�errorr���r���r���r���� urldecodee���s����
r*���c�����������������C���s����t�|�ttf�r4z
t|��}W�q��ty0���d}Y�q�0�njt|�d�r�z
t|���W�n*�ty`���d}Y�q��tyt���d}Y�q�0�tt�|�t�r�|�� ��n|��}t
|�}nd}|S�)a*��Extract parameters and return them as a list of 2-tuples.
Will successfully extract parameters from urlencoded query strings,
dicts, or lists of 2-tuples. Empty strings/dicts/lists will return an
empty list of parameters. Any other input will result in a return
value of None.
N�__iter__)
r
���r���r���r*���r#����hasattr�dict� TypeError�list�itemsr ���)�rawr���r���r���r����extract_params����s ����
r2���c�������������������C���s���t�t�td��t����S�)a���Generate pseudorandom nonce that is unlikely to repeat.
Per `section 3.3`_ of the OAuth 1 RFC 5849 spec.
Per `section 3.2.1`_ of the MAC Access Authentication spec.
A random 64-bit number is appended to the epoch timestamp for both
randomness and to decrease the likelihood of collisions.
.. _`section 3.2.1`: https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac-01#section-3.2.1
.. _`section 3.3`: https://tools.ietf.org/html/rfc5849#section-3.3
�@���)r���r����generate_timestampr���r���r���r����generate_nonce����s����
r5���c�������������������C���s���t�tt�����S�)aD��Get seconds since epoch (UTC).
Per `section 3.3`_ of the OAuth 1 RFC 5849 spec.
Per `section 3.2.1`_ of the MAC Access Authentication spec.
.. _`section 3.2.1`: https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac-01#section-3.2.1
.. _`section 3.3`: https://tools.ietf.org/html/rfc5849#section-3.3
)r����int�timer���r���r���r���r4�������s���� r4����
���c��������������������s$���t����d����fdd�t|��D���S�)aX��Generates a non-guessable OAuth token
OAuth (1 and 2) does not specify the format of tokens except that they
should be strings of random characters. Tokens should not be guessable
and entropy when generating the random characters is important. Which is
why SystemRandom is used instead of the default random.choice method.
��c�����������������3���s���|�]}������V��qd�S��N)�choice)�.0�x��charsZrandr���r���� <genexpr>���������z!generate_token.<locals>.<genexpr>)r����join�range��lengthr?���r���r>���r����generate_token����s����rF���c�����������������C���sT���dd�l�}tj���}|j|tj|jd��d�}|�|j��|�||�d�}t |d�}|S�)Nr���)Zseconds)�scopeZexp�RS256�UTF-8)
�jwt�datetimeZutcnowrG���Z timedeltaZ
expires_in�update�claimsr����
to_unicode)Z
private_pemZrequestrJ���ZnowrM����tokenr���r���r����generate_signed_token����s����
�
rP���c�����������������C���s���dd�l�}|j||�dgd�S�)Nr���rH���)Z
algorithms)rJ���r���)Z
public_pemrO���rJ���r���r���r����verify_signed_token����s����rQ���c�����������������C���s
���t�|�|�S�)z�Generates an OAuth client_id
OAuth 2 specify the format of client_id in
https://tools.ietf.org/html/rfc6749#appendix-A.
)rF���rD���r���r���r����generate_client_id����s����rR���c�����������������C���s2���t�|t�r|���}tj|�dd�}|�|��t|�S�)z)Extend a query with a list of two-tuples.Tr ���)r
���r-���r0���r&���r'����extendr���)r(���r���Z
queryparamsr���r���r����add_params_to_qs����s
����
rT���Fc����������� ������C���sF���t���|��\}}}}}}|r&t||�}n
t||�}t��||||||f�S�)z5Add a list of two-tuples to the uri query components.)r&���rT����
urlunparse) �urir����fragmentZschZnet�pathZparr(���Zfrar���r���r����add_params_to_uri����s
����
rY���c�����������������C���sH���t�|��t�|�krdS�d}t|�|�D�]
\}}|t|�t|�A�O�}q"|dkS�)a�� Near-constant time string comparison.
Used in order to avoid timing attacks on sensitive information such
as secret keys during request verification (`rootLabs`_).
.. _`rootLabs`: http://rdist.root.org/2010/01/07/timing-independent-array-comparison/
Fr���)�len�zip�ord)�a�b�resultr=����yr���r���r����safe_string_equals����s
���� ra���rI���c��������������������s����t�|�t�r|�S�t�|�t�r$t|���d�S�t|�d�r�z
t|���W�n4�tyL���Y�nH�tyn�����fdd�|�D���Y�S�0�t|�d�r�|����}���fdd�|�D��S�|�S�)z:Convert a number of different types of objects to unicode.��encodingr+���c�����������������3���s���|�]}t�|���V��qd�S�r:����rN���)r<����irb���r���r���r@��� ��rA���z
to_unicode.<locals>.<genexpr>r0���c��������������������s"���i�|�]\}}t�|���t�|����qS�r���rd���)r<���r
���r
���rb���r���r����
<dictcomp>$��rA���z
to_unicode.<locals>.<dictcomp>)r
���r���r���r,���r-���r.���r#���r0���)�datarc���r���rb���r���rN�����s
����
rN���c�����������������������sb���e�Zd�ZdZi�Zdd��Zdd��Z��fdd�Z��fdd �Zdd
d
�Z ��fd
d�Z
��fdd�Z
���Z
S�)�CaseInsensitiveDictz3Basic case insensitive dict with strings only keys.c�����������������C���s*���dd��|D��|�_�|D�]}||�|�|<�qd�S�)Nc�����������������S���s���i�|�]}|����|�qS�r���)�lower)r<���r
���r���r���r���rf���0��rA���z0CaseInsensitiveDict.__init__.<locals>.<dictcomp>)�proxy)�selfrg���r
���r���r���r����__init__/��s����z
CaseInsensitiveDict.__init__c�����������������C���s���|����|�jv�S�r:���)ri���rj���)rk���r
���r���r���r����
__contains__4��s����z CaseInsensitiveDict.__contains__c��������������������s*���|�j�|����}t���|��|�j�|���=�d�S�r:���)rj���ri����super�
__delitem__�rk���r
����key�� __class__r���r���ro���7��s����
z CaseInsensitiveDict.__delitem__c��������������������s���|�j�|����}t���|�S�r:���)rj���ri���rn����
__getitem__rp���rr���r���r���rt���<��s����z CaseInsensitiveDict.__getitem__Nc�����������������C���s���||�v�r|�|�S�|S�r:���r���)rk���r
����defaultr���r���r����get@��s����zCaseInsensitiveDict.getc��������������������s ���t����||��||�j|���<�d�S�r:���)rn����
__setitem__rj���ri���)rk���r
���r
���rr���r���r���rw���C��s����z CaseInsensitiveDict.__setitem__c��������������������s8���t���j|i�|���t|i�|��D�]}||�j|���<�q d�S�r:���)rn���rL���r-���rj���ri���)rk����args�kwargsr
���rr���r���r���rL���G��s����zCaseInsensitiveDict.update)N)
�__name__�
__module__�
__qualname__�__doc__rj���rl���rm���ro���rt���rv���rw���rL����
__classcell__r���r���rr���r���rh���)��s���
rh���c�������������������@���sN���e�Zd�ZdZddd�Zdd��Zd d
��Zed
d
���Zed
d���Z edd���Z
dS�)�Requesta:��A malleable representation of a signable HTTP request.
Body argument may contain any data, but parameters will only be decoded if
they are one of:
* urlencoded query string
* dict
* list of 2-tuples
Anything else will be treated as raw body data to be passed through
unmolested.
�GETNr
���c�������������� ������s������fdd�}||�|�_�||�|�_t||p*i���|�_||�|�_t|�j�|�_g�|�_i�|�_d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�d�
|�_ |�j �
t
t
|�j
����|�j �
t
|�jp�g����d�S�)Nc��������������������s�����rt�|����S�|�S�r:���rd���)r=���rb���r���r����<lambda>_��rA���z"Request.__init__.<locals>.<lambda>)
Z
access_tokenZclientZ client_idZ
client_secret�codeZcode_challengeZcode_challenge_methodZ
code_verifierZextra_credentialsZ
grant_typeZ
redirect_uriZ
refresh_tokenZ
request_tokenZ
response_typerG���Zscopes�staterO����userZtoken_type_hintZ
response_modeZnonceZdisplay�promptrM���Zmax_ageZ
ui_localesZ
id_token_hintZ
login_hintZ
acr_values)rV����
http_methodrh����headers�bodyr2����
decoded_bodyZ
oauth_paramsZ
validator_log�_paramsrL���r-���r*���� uri_query)rk���rV���r����r����r����rc���r���r���rb���r���rl���\��sR����
�"zRequest.__init__c�����������������C���s ���||�j�v�r|�j�|�S�t|��d�S�r:���)r�����AttributeError)rk����namer���r���r����
__getattr__���s����
zRequest.__getattr__c�����������������C���sR���t���s
dS�|�j}|�j���}|r.t�dt|��}d|v�r>d|d<�d�|�j|�j ||�S�)Nz
<oauthlib.Request SANITIZED>z
<SANITIZED>Z
Authorizationz
<SANITIZED>zF<oauthlib.Request url="{}", http_method="{}", headers="{}", body="{}">)
r���r����r�����copy�SANITIZE_PATTERN�subr����formatrV���r����)rk���r����r����r���r���r����__repr__���s����
�zRequest.__repr__c�����������������C���s���t���|�j�jS�r:���)r&���rV���r(����rk���r���r���r���r�������s����zRequest.uri_queryc�����������������C���s
���|�j�s
g�S�tj|�j�ddd�S�)NT)r!����strict_parsing)r����r&���r'���r����r���r���r����uri_query_params���s
����
�zRequest.uri_query_paramsc�����������������C���sP���t��t�}dd��|�jpg�|�j�D��}|D�]}||��d7��<�q(dd��|���D��S�)Nc�����������������s���s���|�]}|d��V��qdS�)r���Nr���)r<����pr���r���r���r@������s����z+Request.duplicate_params.<locals>.<genexpr>r���c�����������������S���s
���g�|�]\}}|d�kr|�qS�)r���r���)r<���r
����cr���r���r����
<listcomp>���rA���z,Request.duplicate_params.<locals>.<listcomp>)�
collections�
defaultdictr6���r����r����r0���)rk���Z seen_keysZall_keysr
���r���r���r����duplicate_params���s����
�zRequest.duplicate_params)r����NNr
���)
rz���r{���r|���r}���rl���r����r�����propertyr����r����r����r���r���r���r���r���M��s���
���
2
r���)r
���)F)rI���)3r}���r����rK���Zlogging�rer7����
urllib.parse�parser&���r���r���r���r���r���r���r9���r���Zsecretsr���r����
ImportErrorZrandomr ���ZUNICODE_ASCII_CHARACTER_SETZCLIENT_ID_CHARACTER_SET�compile�
IGNORECASEr����r$���Z
always_safeZ getLogger�logr���r ���r"���r���r*���r2���r5���r4���rF���rP���rQ���rR���rT���rY���ra���rN���r-���rh���r���r���r���r���r����<module>���sP���
!
$