Это то ясно, но хотелось бы знать

Допустим я зашел как админ на форум, с помощью этого хеша

То что я могу сделать?

P.S bbsessionhash мне удалось передать через xss

благодаря уязвимости - был дебаг режим

и через регулярку, получаю то что нужно в этом режиме

потом через iframe на сниффер