Хеш можно достать токо из кукисов (Cookies), чтобы их достать нужно изучать уязвимость XSS (эта уязв. тащит эти кукисы)
Или можно подобрать пароль обычно на моей практике попадались пароли под дату рождения (если юзер школьник или студент)