No logro pasar la prueba y "se me han acabado" las ideas.

he metido un .png con XSS, he codificado los caracteres, he probado modificando el input "prot" y no veo por dónde atacarle ya que el primer campo codifica los caracteres < y > a &lt; y &gt;, también & y # por lo que la codificación a html entities tampoco me funciona,  los otros campos al parecer hacen un escape de los caracteres especiales que metes, por lo que tampoco me funcionan <>/() etc ni ninguna codificación.

Ya no sé por dónde meterle mano, alguna pista? . Me queda mucho que aprender en vulnerabilidades web pero me interesa bastante.

Sip, para modificar el campo prot he usado el achilles, pero tampoco me ha funcionando :S.

Gracias por la pista, pero sigo sin saber por dónde meter mano porque el achilles ya lo he usao xD. No sé si te referías a eso...

Gracias ya lo he pasado! . Aunque no entiendo muy bien su funcionamiento pero te pregunto por pm mejor si no te importa xD.

No necesitas modificar nada, solo pon tu xss y listo pero si quieres buscar eso que dices busca el modify headers o el tamper data.

Ahora que me doy cuenta bién no existe ningún reto llamado hack web xss, estuve mirando y solo está la de cross, site, foro y creo que esas tres son las únicas pruebas de xss pero no hay ninguna llamada así.