长城杯zeroshell_1flag的base64是ZmxhZw==查找字符串Zmxhhttp.referer=="ZmxhZ3s2QzJFMzhEQS1EOEU0LThEODQtNEE0Ri1FMkFCRDA3QTFGM0F9"解码得到flagzeroshell_2上网搜到zeroshellPOC，以及明文的管理员账号密码(流量包里也有)直接查看flag文件就行（或者虚拟机里cat/fl

WinFT_1step.1先看题目flag格式是攻击机的域名+ip+端口step.2netstat-ao发现可疑的域名和端口结合题目附件恶意流量包的内容怀疑是192.168.116.130再加上火绒剑的帮助，确定是flvupdate再看看任务管理器，确认一下，毕竟flag有提交次数限制是后门程序step.