Parsing modern ASP.NET Core Identity password hashes to Hashcat

Yannic Hemmer, Pentagrid AG

2026-06-03 11:23

While this would not be anything out of the ordinary, the environment certainly was. So where do we expect ASP.NET Core Identity hashes? Some obscure cloud application, local Windows application, ... but surely not on an embedded linux system!?

While the vulnerability itself was discovered at this point - exposing password hashes without any authentication is not exactly considered best practice - it was decided to investigate the password hashes further in an attempt to showcase password cracking and detect weak passwords.

Despite numerous tools on the internet advertising the capability of converting ASP.NET Core Identity hashes into Hashcat format, all attempts at cracking the extracted password hashes remained unsuccessful despite knowing some pairs of plaintext passwords and ASP.NET Core Identity hashes.

Why? It was time to dig in!

ISO 20022, Pain001 and payment of your salary

Pentagrid AG

2025-11-21 14:30

At Pentagrid, we occasionally review our clients' internal processes to identify IT security risks. When we discovered that large sums of money are transferred with just a few clicks and no transaction verification, we helped securing the process. At the same time, we developed a tool to support this improvement.

The following blog post outlines the complexity of pain.001 files, the risk of transfering payment files via insecure channels and the problem of reviewing payment details when the pain.001 file is uploaded into an e-banking interface. Pentagrid's tool follows a diff-like approach to detect changes among monthly payments. The "riskless pain" tool is available on Github.

An excursion into Airlock WAF ruleset testing

Pentagrid AG

2024-12-11 13:00

Recently we've been tasked to do an analysis of a web application firewall (WAF) of the vendor Ergon, namely the Airlock WAF regarding the effectivness of filtering. One idea was to see what happens when OWASP Core Rule Set (CRS) tests are run against it. This is the story of how we approached this, which payloads went through and how impossible it is to tell if that's good or bad now.

EAN-13- und TOTP-Hackvertor-Tags für Penetrationstests von Webanwendungen mit Burp

Pentagrid AG

2024-12-06 09:42 (aktualisiert 2025-06-04 08:00)

Hackvertor ist ein Standalone-Werkzeug und eine Erweiterung für das Penetrationstest-Tool Burp Suite. Gareth Heyes vom Portswigger Research Team hat Hackvertor entwickelt. Die Erweiterung führt dynamische Datenkonvertierungen durch. Das Tool kann beispielsweise dazu verwendet werden, Datenfelder als Base64 zu kodieren, bevor Burp eine HTTP-POST-Anfrage an einen Server sendet. Dies geschieht automatisch und es ist nicht notwendig, Daten manuell zu konvertieren oder zwischen verschiedenen Fenstern zu kopieren.

In unserem Blog schrieben wir über das Generieren schweizer Sozialversicherungsnummern bei einem Pentest und das Programmieren benutzerdefinierter Hackvertor-Tags. Es gibt verschiedene Arten von Tags. Viele sind bereits in Hackvertor integriert und Benutzer können darüber hinaus ihre eigenen Tags programmieren. Hackvertor verfügt mittlerweile über einen öffentlichen Tag Store, in dem Benutzer Tags einreichen können. Pentagrid hat nun zwei Tags entwickelt und im Hackvertor-Tag-Store veröffentlich. Ein Hackvertor-Tag dient der Prüfziffernberechnung von EAN-13-Codes und ein anderes für die Berechnung von Time-based one-time Passwords (TOTP).

How to prevent domain verification bypasses of your server certificates using CAA and account URI binding and how to monitor problems?

Pentagrid AG

2024-06-10 11:23

In 2023, there was an attack on the Russian chat platform jabber.ru. The attack was going on for half a year from April to October and targeted three servers from the jabber.ru network operated at the hosting providers Hetzner and Linode in Germany. A later analysis showed that the attackers were able to have server certificates issued for hosts and have used these for attacking the communication. The attack was presumably carried out by state actors. How were the attackers able to have certificates issued and how could this have been prevented or at least detected early?

Kiosk-Modus-Bypass bei Hotel-Check-in-Terminal mit Ariane Allegro Scenario Player

Pentagrid AG

2024-06-05 08:42 (aktualisiert 2024-06-11 17:23)

Ein Threat-Modelling-Workshop verschlug uns an einen entfernt gelegenen Ort mit neuem Hotel. Das Hotel war so klein, dass es kein Personal für den Check-in gab, dafür aber ein Selbstbedienungs-Terminal für den Check-in. Es passierte, was passieren musste.

Das Hotel-Check-in-Terminal basiert auf dem Ariane Allegro Scenario Player. Die Software läuft in einem Kiosk-Modus. Bei Eingabe eines Anführungszeichens in die Gästesuche stürzte die Anwendung ab und beendete den Kiosk-Modus. Dadurch war ein Zugriff auf den Windows-Desktop möglich. Nach Angaben von Ariane war in dem neuen Hotel eine alte Softwareversion installiert.

Nach Eigenangaben von Ariane Systems, ist Ariane "der weltweit führende Anbieter von Self-Check-in und Check-out Lösungen für die Hotelbranche. [...] Ariane bedient derzeit 3.000 Hotels und 500.000 Zimmer in mehr als 25 Ländern. Dazu gehört ein Drittel der 100 größten Hotelketten weltweit."

Preisgabe von Tastenschloss-Codes bei Check-in-Terminal von IBIS-Hotel

Pentagrid AG

2024-04-02 11:23

Nach einem Hackerkongress in Hamburg stellte Pentagrid fest, dass ein Check-in-Terminal eines IBIS-Budget-Hotels die Tastencodes von fast der Hälfte der Hotelzimmer preisgab, wenn ein Benutzer nach einer bestimmten Form einer nicht alphanumerischen Buchungsnummer suchte. Der Zugang zu den Hotelzimmern ermöglicht den Diebstahl von Wertsachen, insbesondere wenn Low-Budget-Hotelzimmer nicht mit einem Zimmersafe ausgestattet sind. Der Hotelkettenbetreiber Accor hat das Problem nach eigenen Angaben mittlerweile behoben.

SQL-Injektion in Hafenverwaltung YABOOK erlaubt Umgehung der Authentisierung

Pentagrid AG

2024-03-12 11:42

YABOOK ist eine webbasierte Software von News-Solutions zur Verwaltung von Anliegerplätzen in Häfen. Einige Häfen nutzen diese Lösung als gehostete Applikation oder auch als On-Prem-Installation. Bei einer Sicherheitsuntersuchung stellte Pentagrid eine SQL-Injection in der Login-Maske der Webanwendung fest, die eine Authentisierungsumgehung ermöglichte. Dieses Sicherheitsproblem ist behoben.

Multiple vulnerabilities in Lantronix EDS-MD IoT gateway for medical devices

Pentagrid AG

2024-01-08 10:23 (aktualisiert 2024-02-13 10:42)

Pentagrid identified several vulnerabilities in Lantronix's EDS-MD product during a penetration test. The EDS-MD is an IoT gateway for medical devices and equipment. The vulnerabilities include an authenticated command injection, cross-site request forgery, missing authentication for the AES-encrypted communication, cross-site scripting vulnerabilities, outdated software components, and more.

Remote code execution and elevation of local privileges in Mitel Unify OpenStage and OpenScape VoIP phones

Pentagrid AG

2023-12-08 06:42 (aktualisiert 2023-12-11 12:42)

During a research project, Pentagrid identified multiple vulnerabilities in the OpenStage and OpenScape VoIP phone series. The combination of insecure defaults and implementation weaknesses allows a remote compromise and the elevation of privileges for a network-local attacker on phones with an unhardened default configuration. Compromising a phone does not only allow to wiretap phone calls, but could also be abused to access microphones for listening to rooms. The vulnerabilities affect a wide range of devices. Pentagrid assumes that many small companies don't use a hardened configuration and are likely affected.