SQLインジェクションかと思って色々してみるも解けず。。。ほかの人のwriteupを見てみました。

どうやらsqlite:database.db の database.dbは相対パスの表記らしいです。

http://ctfq.sweetduet.info:10080/~q35/auth.phpのauth.phpをdatabase.dbに置き換えてみるとdatabase.dbをダウンロードできます。
　
DB Browser for SQLiteを使ってDBの中身を見てみます。

フラグが見つかりました。