miniden действительно - что и куда пропускает? 0.0
вбей туда <script>alert('xss');</script>
если вылезет алерт с надписью "xss" значит там есть xss
если у этой ГБК есть админка, или на сайте присутствуют еще какие-то скрипты с регистрацией пользователей, то используй сниффер и кради куки админа.
никакой шелл ты не зальешь и никакой инъекции не произведешь - там только xss, черехз который тебе надо заваладтеь админским аккаунтом.