это не кука, а только половина ее. В БД должна быть колонка с идентификатором сессии и ее значением. Выше у тебя значение. В базе берешь идентификатор и шлешь куку, например PHPSESSID=ИДЕНТИФИКАТОР, название может быть не обязательно PHPSESSID, бывает и cmssessid и прочие варинаты, смотри по обстоятельствам. Но так как в сессии у тебя упоминается IP, то скорей всего под чужой сессией не зайдешь, так как возможно движок тебя разлогинит из-за того, что айпи другой.

Если у тебя есть инъекция, то почему бы не вытащить логин и пароль и с ними зайти?