USB Exfiltration

ファイル exfiltration.pcapng が与えられた。

このファイルをWiresharkで開き、 問題文からzipされたファイルが転送されているらしいので、「パケットバイト列」から文字列 PK を検索した。
すると、Length が 16448 のパケットがヒットし、その後にも Length が 16448 のパケットが並んでいた。

そこで、並んでいる Length が 16448 のパケットを順に選択していき、 それぞれについて画面下部のデータが表示されている部分を右クリックして「16進数ストリームとして...」を選択することでデータをコピーし、 テキストファイルに1行ずつ貼り付けていく、という作業を行った。
さらに、その下の Length が 4160 および 337 のパケットについても、同様にコピーして貼り付けた。
全部で42行のデータが得られた。

得られたデータをCyberChefに入力し、各行をデコードして最初の64バイトを削除することで、zipファイルを得た。

A file exfiltration.pcapng was given.

Knowing that a zipped file is transfered from the challenge descryption, I opened the file on Wireshark and searched for a String PK from "Packet bytes".
As a result, a packet with the Length 16448 was highlighted and there are some packets with the Length 16448 after the packet.

Seeing this, I selected each packets with the Length 16448, right-clicked the data in the bottom of the window, selected "...as a Hex Stream" to copy the data, and pasted to each lines of a text file.
I also copy-and-pasted data of packets with the Length 4160 and 337 below the packets in the same manner.
Finally, I obtained 42 lines of data.

I put the resulting data to CyberChef as an input, and had it to decode each lines and to remove the first 64 bytes. This yielded a zip file.

Fork, From Hex, Drop bytes, Merge - CyberChef

得られたzipファイルを展開すると、ファイル flag.b64 および meme.png が得られた。
flag.b64 の内容にCyberChefの From Base64 をかけると、flagが得られた。

Extracting the resulting zip file yielded files flag.b64 and meme.png.
I obtained the flag by applying "From Base64" on CyberChef to the contents of flag.b64.

buckeye{why_1snt_7h3r3_4_di55ect0r_4_th1s}

BuckeyeCTF 2021