есть админка, вроде самописная, так же имеется логин и пас к ней, но при попытке войти выдает что нельзя зайти с данного ip.
Вопрос как возможно обойти ето дрянь, можно ли подменить IP на IP администратора сайта

Экстрасенсов здесь нет. Мы не знаем каким способом проверяется IP. Если типа
Не подменить никак...
Ну а если включены регистер_глобался, т.е. ключ => значение массива $_GLOBALS будет равно названию => значению переменной, и IP берется с названия этой переменной, тогда просто в GET/POST/COOKIE подставь ip(название переменной)=0.0.0.0(админский IP).

Повторю, экстрасенсов здесь нет.

а как узнать как он проверяется?

Взглянуть в сорсы

Так не бывает.
Давай сюда
1. Что прописано в логах (через что ты выполняешь комманды. КОД)
2. phpinfo() директивы
allow_url_fopen
allow_url_include
magic_quotes_gpc
safe_mode
disable_functions
3. ls -lia (ты-же как-то качалки искал, значит возможно)
4. Как ты пытаешься залить через copy (полностью)

Или методом тыка Попробуй подменить x_forwarder_for, хотя сейчас уже мало где проверяют так, но всё же...

В статье электа написано про то, что если в значение сессион ид вставить спецсимволы,то будет ошибка и раскрытие путей. Как защитится от этого? Спрашивал очень многих, никто ничего сказать не смог.

Фильтруй регулярками.

@session_start();

__________________
<? Raz0r.name — блог о web-безопасности