чисто теоретически, на практике еще не проверял....

Предположим у нас есть заведомо известный движок, и мы знаем как в нем заливать шелл, к примеру есть факт редактирование файла *.php

впариваем админу xss, которая спарсит у админа cookie, и с его куками пропускает до файла который производит запись файла *.php, нам остается только составить форму данных для запеси и передать скрипту.