提示されたURLにアクセスします。下図がVerify paymentのページです。Are you rich?
209 Teams solved.
Description
Are you rich? Buy the flag!
http://52.197.140.254/are_you_rich/
ps. You should NOT pay anything for this challenge
Some error messages which is non-related to challenge have been removed
Hint
None

Address欄に次のように入力して、SQLインジェクションが効くか試してみます。
' or 1=1 ######################---”Found more than 1 records”とメッセージが表示されます。SQLインジェクションが効いているようです。

次に、データベースにどのような名前のテーブルが存在するか確認します。Address欄に、次のように入力します。テーブル名が"fl"で始まるテーブルがあるかどうかを確認します。
' union select table_name from information_schema.tables where table_name like 'fl%' ########メッセージに”flag1”というアドレスは不正と表示されました。これで"flag1"というテーブルが存在することが分かります。

フラグを入手するために、列名を予測して、次のように入力します。
' union select flag from flag1 ########下図のとおり、フラグが表示されました。

フラグは、
hitcon{4r3_y0u_r1ch?ju57_buy_7h3_fl4g!!}です。