Все предельно просто. Допустим наш снифер находится по адресу localhost/sniff/, а форум - test.ru/forum/

Открываем ya.js блокнтом, правим путь до host/path/ya.gif , в данном случае пишем http://localhost/sniff/ya.gif, на файл data.txt выставляем права 666.
Затем заходим на xss.php и прописываем полный путь http://localhost/sniff/ya.js и жмем кнопку - попробуй ее не найти она там одна - и получаем код.
Нашим юзером заходим на форум, постим это сообщение и ждем когда его прочитают модеры.
В случае если ктото с модераторскими - или выше - правами зайдет в нашу тему, скрипт получит хеши и соли всего администраторского состава, все это вы можете посмотреть на view.php