[日本語] []

USB Exfiltration

ファイル exfiltration.pcapng が与えられた。

このファイルをWiresharkで開き、問題文からzipされたファイルが転送されているらしいので、「パケットバイト列」から文字列 PK を検索した。
すると、Length が 16448 のパケットがヒットし、その後にも Length が 16448 のパケットが並んでいた。

そこで、並んでいる Length が 16448 のパケットを順に選択していき、それぞれについて画面下部のデータが表示されている部分を右クリックして「16進数ストリームとして...」を選択することでデータをコピーし、テキストファイルに1行ずつ貼り付けていく、という作業を行った。
さらに、その下の Length が 4160 および 337 のパケットについても、同様にコピーして貼り付けた。
全部で42行のデータが得られた。

得られたデータをCyberChefに入力し、各行をデコードして最初の64バイトを削除することで、zipファイルを得た。

Fork, From Hex, Drop bytes, Merge - CyberChef

得られたzipファイルを展開すると、ファイル flag.b64 および meme.png が得られた。
flag.b64 の内容にCyberChefの From Base64 をかけると、flagが得られた。

Extracting the resulting zip file yielded files flag.b64 and meme.png.
I obtained the flag by applying "From Base64" on CyberChef to the contents of flag.b64.

buckeye{why_1snt_7h3r3_4_di55ect0r_4_th1s}

writeup by MikeCAT

BuckeyeCTF 2021