↑
Как мне это все дело провернуть с пользователями сайта?
Найти XSS на сабдомене и установить куки для домена верхнего уровня, которые будут валидны для всех уровней. Так же, одним из универсальных методов, в подобных случаях, является HTTP Response splitting aka CRLF injection, которым можно выставить куки, добавив дополнительные строки в заголовок (Set-Cookie). Проблема его найти, если вообще он есть, к примеру PHP защищён от подобного рода атак. В качестве другого варианта, можно попробовать передать этот параметр в GET/POST, возможно он рефлектится не только из COOKIE. Дальнейшие возможные варианты, описывать не имеет смысла, так как они будут сильно завязаны на конкретной цели.