CryNet, грубо говоря можно с помощью программы nmap узнать открытые порты, (я не знаю даст ли она имя пользователя, подскажите если знаете)
И потом просто перебирать пароли.
Давайте представим даже что взлом был через инъекцию, но как они смогли создать таблицу со своим названием и со своими столбцами ?
Или можно прописать типо SELECT * FROM Customers where page=1
И вместо 1 пользователь может ввести такую инъекцию которая удалит или создаст таблицу?