Я же написал там. Что ресурс (это мой сайт если что) на котором я тестировал изначально, не был подвержен XSS (я забыл что фиксил на этом тесте). Зашел на "root me", там есть таск на тест XSS, проверил на нем и все отработало как нужно.

Спасибо всем за замечания.К сожалению проблема небольшая имеется,т.к. не всегда срабатывает гарантированно при имеющихся на ресурсах self-XSS.
Умничать не буду,пока не понимаю в чём недочёт,возможно в команде sleep в скрипте и рассинхроне.
Команды на удаление файлов прописаны специально,чтобы создавались новые аналогичные файлы при следующем тесте если удалить их принудительно.
Предполагаю,что скрипт будет доработан всё же до следующей версии.

сохраняются все куки с браузера атакуемого или только куки перехода по ссылке?

Объясните как настроить и поставить на сайт. и интерес с какой системой это работает

Сохраняются куки авторизации на сайте.
По идее,эксплуатируется именно уязвимость self-xss на тех ресурсах,которые работают с куками.
Система не причём,всё основано на социальной инженерии с вынуждением перехода по ссылке.
Если Вы имели в виду установка на собственном ресурсе вредоносных java-скриптов с редиректами,то там несколько иные технологии атак применяются.

то есть, все куки браузера не вытащить?

Да,не все.