Там везде аякс.
Конкретно при входе отправляется два запроса - первый на получение возможности на попытку авторизации. Если не дают такой возможности то обратно присылают ассоциативный массив в JSON, и в нем есть ключ captcha_sid. Если дают добро то просто присылается строка vklogin. Потом уже идет сам запрос авторизации.
И вообще - wireshark в руки и анализировать - там делов то на пять минут.
Но это не единственный трабл ^.^ остальные будут потом При авторизации идет еще и два редиректа, которые должны нажиматься яваскриптом (ну это они так думают)