Ну да, ручное ковыряние — штука живая, автомат иногда не дотягивает до реальности, особенно когда баги там, где их не ждёшь. Sqlmap хорош, да, но на CTF-шных задачах с хитрыми цепочками лучше руками пошаманить, иначе можно долго топтаться на месте. Мне кажется, именно в этом кайф — осознать, где и как эта уязвимость прячется, а не просто нажать кнопку и ждать результата.