La respuesta es no ... al menos no cómo piensas que funcione. Los ataques XSS realmente ocurren en el navegador del cliente. Podría usar un XSS para atacar al administrador del sitio.
Quiero decir, teóricamente, la respuesta es sí, pero no como probablemente imaginas que suceda. Hay muchos IF involucrados, pero solo si puedes almacenar un ataque XSS en esa aplicación web; Si la víctima ha deshabilitado los controles de seguridad predeterminados de sus clientes y permite que el navegador realice llamadas a un servidor que usted controla. Sin embargo, los controles predeterminados implementados en los navegadores modernos podrían evitar que esto tenga éxito.
Dicho esto, este es básicamente uno de los métodos en que se entrega el malware malicioso. Dirígete a usuarios con privilegios administrativos y obtendrás acceso a sus máquinas.
No es necesario un shell inverso completo para comprometer la aplicación. Si conoce bien la aplicación, su ataque XSS, de hecho, podría ser un ataque CSRF que apunta a los derechos de usuario de administrador para realizar acciones administrativas en el servidor en su nombre.