追加の質問ありがとうございます。 先に進めたとの事で良かったです。 解法のヒントですが、 SQLインジェクションで手に入れたリセットトークンは「CS学習サイト - パスワードリセット」の回答に必要になる値となり、 「CS学習サイト - DBからIDを取得」の解法はデータベースから直接フラグを探す事になります。 データベースから「flag」に関する情報を探し出す事で、直接フラグを入手します。 パスワードリセットトークンは、攻撃対象のユーザのパスワードリセットを行い完全な乗っ取りを試みた際、要求された二段階認証を突破するのに使用されます。 二段階認証を突破するとフラグが表示されるので、パスワードリセットを試してみてください。 データベースはMySQLになるので、"information_schema" を駆使しながらすべてのデータを網羅的に調査する事で回答への道筋が開くと思います。 CELTFの解説ではありませんが、SQLインジェクションでデータを網羅的に調査する方法を別途記事にしてあるので、よろしければこちらも参考にしてみてください。 https://lonesec.com/2020/09/26/practical-sql-injection-test/