La risposta è no ... almeno non come pensi che funzioni. Gli attacchi XSS si verificano effettivamente sul browser del client. È possibile utilizzare un XSS per attaccare l'amministratore del sito.
Voglio dire, in teoria, la risposta è sì, ma non come probabilmente immaginerai che accada. Vi sono molti IF coinvolti, ma solo se è possibile memorizzare un attacco XSS su tale applicazione Web; se la vittima ha disabilitato i controlli di sicurezza predefiniti del proprio client e consente al browser di richiamare le chiamate su un server che controlli. Tuttavia, i controlli predefiniti sono presenti nei browser moderni che probabilmente impedirebbero il successo.
Detto questo, questo è fondamentalmente uno dei metodi di trasmissione del malware drive-by. Indirizza gli utenti con privilegi amministrativi e accedi ai loro macchinari.
Non hai bisogno di una shell inversa completa per compromettere l'applicazione. Se conosci bene l'applicazione, il tuo attacco XSS potrebbe essere in realtà un attacco CSRF che si rivolge ai diritti degli amministratori per eseguire azioni amministrative sul server per tuo conto.