Не просто картинки, а именно все url`ы картинок.

Ну а чтоб ушла сессия, надо сделать XSS иньекцию, а насколько я помню, её там сделать проблематично.
Хотя, я понял что ты имееш ввиду....
Т.е. чтоб он прошел по ссылке http://site/1.jpg, где картинка выступает в роли сниффера.....ага....теперь понял. Рефер уходит...... Но тут главное не спалится.....
А насчет идентификации в админку по сессии, спорить не буду. так как я не помню уже. Надо будет заново создать акк., поискать чё нибудь. Хотя, неужели там куки не играют роли??? Блин, не помню...