WooYun.org

在手机上安装并开启360手机助手后，发现它监听了38517端口。而且此端口没有bind到本地，意味着任意能访问到它的主机都可以连接到这个端口。

进一步查看发现，360手机助手在本地通过NanoHttpd实现了一个server。其serve方法如下：

在里面我们看到了很多request，例如/in，/opeanApp，/openPage, 等等，显然360手机助手可以通过接收client发来的request来进行各种操作，如打开应用，访问URL等。这个方法虽然在一开始获取了一下http-client-ip，但是并没有据此进行任何判断。意味着来自任意地址的访问仍然可以被处理。
对于/openPage这个request，360手机助手首先会从parameter中取得url，然后会进行如下的判断：

看起来360手机助手对URL的来源进行了限制，仅允许访问几个自己的域名。但是不幸的是，这个限制实际上可以轻易被绕过，因为我们知道，在**.**.**.**中点击搜索到的网页都是要通过**.**.**.**跳转一层的，因此可以很容易构造一个从**.**.**.**到任意URL的跳转。例如通过该URL我们可以直接访问手机新浪网：
http://m.**.**.**.**/jump?u=http://**.**.**.**/&m=853640
在根据上面的域名后缀判断URL的合法性之后，360手机助手会直接在app内打开这个URL。
所以，我们只需要一条简单的命令就可以远程让360手机助手访问URL：

curl --data-urlencode “http://m.**.**.**.**/jump?u=
http://**.**.**.**/&m=853640“ **.**.**.**/openPage

/in这个request可以被用来实现任意apk的下载和安装，它接收的paramater很多：

但是实际上我们只需要提供url和sign两个参数即可。sign是用来对url参数进行校验的，算法很简单：

sign = MD5_hexstr(url + “mobilemgr_wififind”)

校验完这个request参数的合法性之后，该方法会调用如下方法来执行应用的下载和安装：

在有root的机型上或者智能安装功能启动的机型上，应用的安装甚至不需要用户的确认。
/opeanApp可以被用来开启本地的任意一个应用，它只需要两个参数：apkId和sign，其中apkId就是应用的包名，而sign的算法和/in中一样：sign = MD5_hexstr(apkId + “mobilemgr_wififind”)。

经测试360手机助手一直到3.2.61版本均有上述问题。