En si con un xss tu no puedes obtener información directamente del servidor, pero si puedes obligar al usuario a que obtenga o realize una determinada accion por ti.
Ejemplo: quiero ser admin en foro en el hacker.net y encontre un xss, entonces busco como el SMF realiza la acción de agregar un Administrador y veo si es vulnerable a CSRF, con esto armo el html o javascript y se lo envio al Administrador para que este sin darse cuenta (generalmente), realize la acción de agregar a un nuevo Administrador con el usuario y pass que yo le pase.
Tambien esta lo del robo de cookies, o incluso puedes crear una pagina igual a la del login y caputar los datos de usuario y contraseña.
Saludos.