↑
Ну, если XSS активная, то нужно встроить (например) как изображение и впарить страницу с JS кодом админу, потом получить куки. (К примеру тикеты. Отправляешь тикет с каким-то нейтральным текстом и встраиваешь туда JS код. Не догадаются, проверенно).
Если же пассивная - тут сложней. Придётся напрямую впаривать ссылку ему с JS кодом, а он может понять и не перейти. Такие дела. Эксплуатация XSS вообще штука простая.