No logro pasar la prueba y "se me han acabado" las ideas.

he metido un .png con XSS, he codificado los caracteres, he probado modificando el input "prot" y no veo por dónde atacarle ya que el primer campo codifica los caracteres < y > a &lt; y &gt;, también & y # por lo que la codificación a html entities tampoco me funciona,  los otros campos al parecer hacen un escape de los caracteres especiales que metes, por lo que tampoco me funcionan <>/() etc ni ninguna codificación.

Ya no sé por dónde meterle mano, alguna pista? . Me queda mucho que aprender en vulnerabilidades web pero me interesa bastante.