Also du musst im Prinzip:
1. eine permanente XSS Lücke finden, ( "seite.de/<script></script>" )
2. Cookie damit auslesen: Mithilfe von: document.cookie = 'name=dreckscookie;
3. Diesen Cookie dann faken, ich hab jetzt nicht genau drübergeschaut (Tut mir leid ich bin müde, ich geh gleich schlafen ) aber den Text überflogen und sieht so aus als ob das Tool das ich gepostet hab, das könnte.
Ansonsten hab ich grad leider kein Cookie-Tutorial zur Hand.