estas en un medio escrito, la ortografia y redacción son importantes para poder se entendido

lo de obtener el handshake aun es la unica forma a demas de los ataques  a wps si est activado y sin restricciones

sobre obtener o no, allí es que entra el conocimiento... si no entiendes los protocolo y mecanismos involucrados, sino solo usas las herramientas a lo ciego, no es mas que magia y el chance de fallar es puro azar...

sobre romper el handshake es harina de otro costal, sin contar que lindset nunca fue una herramienta efectiva, era mas un PoC (prueba de concepto) que un ataque

depende de que hackeo sea...

- si entra al servidor (ej: ssh o ftp), verá todo lo que tu puedas ver...
- si logra subir y ejecutar un .php (usualmente le llaman "shell") hecho por el igualmente...
- si logra una inyeccion SQL no, solo podrá ver/alterar el contenido de la base de datos *
- si logra inyectar un js, no
- un xss, no
- una publicidad maliciosa, no**
y en general son mas no, que si


aclaratoria:
* por eso es importante el usuario de la db que use el php limitarlo a por ejemplo solo hacer las 4 operaciones basicas, select/update/insert/delete, si el usuario sql tiene todas las opciones podrá incluso borrar tablas. si a demas es un usuario con los permisos de grant y execute (como es root), estamos entonces en el primer caso (entró al servidor ya que puede ejecutar comandos de consola)
** a menos que te robe la contraseña de administrador en el panel de login