Сильно не пинайте за нубский вопрос...
Нахожу sql иньекцию, раскручиваю, просматриваю таблицы и колонки, нигде ничего похожего на user, members, accounts, passwords нет. Пароли обязательно в базе должны быть?
Пароли никому и ничего не должны. Как уже сказано, вариантов тут масса. Храниение паролей в таблице вроде "users" - просто общепринятый вариант.
Для начала найдите админку. Ее может и не быть вообще. Пароли могут быть жестко вписаны в исходник или может стоять basic-авторизация. В таком случае вам нужно смотреть в сторону вектора с доступом к файлам.