Вообщем-то поставил щас тоже на локалхост двиг этот. Особо сильно не вникал.
Прояснил тока, что при регистрации пароль шифруется простым MD5.
Потом при первом посещении происходит так:
rc_shatool($uname.$pass);
Грубо говоря из БД берётся наш НИК и наш ПАРОЛЬ.
Допустим admin:12345
rc_shatool как мы уже выяснили это sha-1.
Получим следующее:
sha-1(admin12345)
d4e8e6deaa7b1f8381e09e3e6b83e36f0b681c5c - вот эту строку я и нашёл в БД.

Отсюда возникают мысли, как это расшифровывать..
Пихаем хеш в пассворд про.. Ставим SHA-1. Атаку по маске. Ник нам известен. Ставим admin?d?d?d?d?d
Это в данном случае, т.к. мы знаем что пароль у нас из цифр =). Ставим минимальную и максимальную длинну пароля. И жмём на кнопачку. Все пароли найдены =))

p.s.
После установки движка сразу бросилась в глаза ошибочка грамматическая. Вместо ГЛАВНАЯ написано ГЛАНАЯ. Переводчик видимо был уставшим =))
Решил посмотреть подобные сайты в сети..
И сразу наткнулся на сайт http://minimake.spb.ru/modules/news/
Там даже не попытались её исправить =))