USB 51 (Forensics) - 404CTF2025

Principe:
Trouver, dans un pcap, le paquet d'exfiltration d'un document (PDF) et décoder le binaire (ASCII) qu'il contient

Infos (cf menu latéral):
🚩 Flaggué! +100 points gagnés — 💾 Téléchargez les fichiers du challenge
404CTF{W3_c0ME_IN_p3aC3}

Le challenge

L'énoncé du challenge

T'es `pcap` ?

On ouvre le pcap et on s'aperçoit qu'il s'agit d'une capture de flux non pas réseau, mais USB (d'où le titre du challenge)
On trouve, en parcourant les paquets et en regardant d'abord le plus volumieux (48127 bytes), des données qu'on reconnait comme étant du PDF (magic number %PDF-1.7)
De là, on peut exporter le paquet, pour en récupérer le contenu et donc le fichier
On ouvre le fichier récupéré, et c'est bien un PDF, avec des "données brutes" qu'on va sans doute devoir décoder

Si cela n'était pas clair, voici un poil plus de détail pour les débutants. Le paquet contenait des données (48kbytes environ). On a exporté ces données (brutes) dans un fichier quelconque. Or, comme ces données sont au même format (standard) que des données PDF. Donc, ce fichier peut être ouvert comme un PDF (et on peut le nommer ainsi xxx.pdf). Si le contenu avait été obfusqué (chiffré ou autre) alors on n'aurait même pas pu identifier les bytes dans le paquet comme étant du PDF.

Comme le challenge est Facile, on va simplement essayer de décoder ce binaire comme de l'ASCII (via dcode par exemple) et bingo

Flag: 404CTF{W3_c0ME_IN_p3aC3}