# 【AD】【解碼】gpp-decrypt

我們找到一個名為 old-policy-backup.xml 的文件：

[![image-1702298601792.png](https://bookstack.treemanou.com/uploads/images/gallery/2023-12/scaled-1680-/mRsM8koL6L2SMOvF-image-1702298601792.png)](https://bookstack.treemanou.com/uploads/images/gallery/2023-12/mRsM8koL6L2SMOvF-image-1702298601792.png)

由於文件夾的命名和文件本身的名稱，看起來這是一個較舊的域策略文件。這是域共享上的一個常見遺物，因為系統管理員在實施新政策時經常忘記它們。在這種情況下，XML 文件描述了一個舊的策略（有助於了解當前的策略）和內建 Administrator 帳戶的一個加密密碼。對於我們來說，這個加密的密碼可能非常有價值。

從歷史上看，系統管理員通常通過<span style="background-color: #ffff00;">組策略首選項（GPP）</span>更改本地工作站密碼。

然而，即使使用 AES-256 加密存儲的 GPP 密碼，加密的私鑰已經在 MSDN 上公開。我們可以使用這個密鑰解密這些加密的密碼。在這個情況下，我們將在 Kali Linux 中使用 gpp-decrypt 的 ruby 腳本，該腳本解密給定的 GPP 加密字符串：

```Powershell
kali@kali:~$ gpp-decrypt "+bsY0V3d4/KgX3VJdO/vyepPfAN1zMFTiQDApgR92JE"
```

[![image-1702298765184.png](https://bookstack.treemanou.com/uploads/images/gallery/2023-12/scaled-1680-/dm5X0UHttTVGbD3w-image-1702298765184.png)](https://bookstack.treemanou.com/uploads/images/gallery/2023-12/dm5X0UHttTVGbD3w-image-1702298765184.png)