这一期的_wargame_难度明显比之前的_leviathan_要高，而且已经涉及到相对完善的_Linux溢出_相关知识了。但是在overthewire上这才居然只是_2/10_的难度，看来我差得很远啊。

Cake 是一题 Android 题，具体流程就是一个输入一个字符串然后，初始化一个长度为16的数组，然后将字符串与这个数组 xor 。所以我们只需要再 xor 一下就 ok 了。

本次比赛的第一个题目是一个APK文件，安装后，需要用户输入特定的密码，输入正确会显示破解成功。该题目的APK文件没有太多的保护，可以直接使用各种分析工具（如jeb等）反编译得到Java代码。

获得正确注册码的代码逻辑为： 1. 从logo.png这张图片的偏移89473处，读取一个映射表，768字节编码成UTF-8，即256个中文表 2. 从偏移91265处读取18个字节编码的UTF-8（即6个中文字符）为最终比较的密码。然后通过输入的字符的转换，转换规则就是ASCII字符编码，去比较是否和最终密码相等。

这一关就是一个简单的游戏介绍，当然，还有明文的账号密码。打开网页就能看到，不再叙述。

31c3 CTF 还是很人性化的，比赛结束了之后还可以玩。看题解做出了当时不会做的题目，写了一个writeup。
英文的题解可以看这里https://github.com/ctfs/write-ups/tree/master/31c3-ctf-2014/web
0x01 pCRAPp

看到题面提示说 flag 在后台

输入 /admin/ 看到一个 HTTP Basic Authentication

既然是CTF肯定不可能是跑密码了，所以考虑其他情况。观察可知主页跑的是 PHP 。但是看 HTTP 头却是 IIS 。所以考虑是不是 短文件名之类的。搜索可得

传说，丘比龙是丘比特的弟弟，丘比龙是一只小爱神，虽然有两只翅膀，但因为吃多了，导致身体太胖，所以飞不起来~那么问题来了?!丘比龙吃什么食物吃多了变胖了

很明显了,百度一下答案是甜甜圈

1.web1-信息获取

Url:http://ctf.sobug.com/hack_game/e82b2db876111afd/index.php Point:100

Description: 获取信息，提交key

too young too simple

一个叫flag.bmp的文件，但是无法打开。文件头42 4D确实是bmp文件的头，但是文件尾49 45 4E 44 AE 42 60 82却是png文件的尾。

Category: Web

Points: 50

Author: TheJH

Description:

Legend says there is a bank vault in Jamestown which cannot be broken

分数:100 描述: 提示 1：key 不是大家喜欢的波波老师！
提示 2：bmp+png
提示 3：CRC Link:http://pan.baidu.com/s/1o6x4FEE

所有文件打包下载：ISG.zip

Team Name: 0ops

ctf所有文件打包下载：Alictf.zip

赛题源代码：JCTF源码.zip

挑战地址：http://prompt.ml/0

from:https://github.com/cure53/xss-challenge-wiki/wiki/prompt.ml