На vB при некоторых настройках куки привязаны к ip и разумеется всегда httpOnly.

Если удалось получить XSS, нужно её сразу использовать для совершения необходимых действий или найти возможность получения куков другим способом, записать юзер-агент и заходить под IP из той-же подсети.

Вы определитесь, что вам собственно нужно сделать и для чего.