宝塔无需登陆账号即可使用他人账号的授权抵扣券

过程
由于新版本无法仅靠删除bind.pl实现过强制登陆，因此我琢磨能否生成一个登录后的配置文件。
于是乎利用php编写了一个生成userInfo的接口，起初没有在意，在一次测试新版本时。
我发现我生成的配置文件，除了无法切换到测试版外没有任何限制，包括可以查看抵扣券（当时生成的账号的抵扣券为空）。
于是乎，一个邪恶的念头产生了，配置文件中有个uid字段，做过开发的基本都知道，uid代表的是注册账号的用户ID。
然后我尝试将uid改成我账号的（注意此时我服务器的是我随机生成的配置文件，而仅有的UID是我手动改成的），点击抵扣券发现已经显示出来我的抵扣券了，之后成功使用了其中的一张不到一个月的抵扣券（邀请2个活跃用户赠送的）。
1.jpg (14 KB, 下载次数: 0)

此时查看官网后台，授权列表已经显示了我已经使用的服务器了。但查看宝塔服务器绑定页面，显示只有历史解绑的记录（因为之前登陆过账号）。
2.jpg (9.24 KB, 下载次数: 0)

然后我猜想可能是我之前登陆过，因此没有限制，于是乎我手动随机改了几个的uid，终于发现45678这个ID有个报表的折扣券。
3.png (33.19 KB, 下载次数: 0)

本来打算联系一下官方以后尝试使用的，然后再由官方恢复用户的抵扣券。
联系上以后林萧大佬表示不相信，然后发给了我他账号的uid。
4.jpg (11.23 KB, 下载次数: 0)

毫无疑问的我成功使用了他账号的3个月的企业版

原文https://www.baota.me/post-28.html

是的 主要是怕以后有人利用我脚本生成了配置文件使用了他人的授权
所以第一时间联系修复了