云靶场
https://github.com/iknowjason/Awesome-CloudSec-Labs
AWS
[CloudFoxable](https://github.com/BishopFox/cloudfoxable):通过设计 AWS 渗透测试平台创建您自己的漏洞。IAM 重大挑战:识别和利用 IAM 错误配置的 CTF 挑战。
CloudSec 花絮:三个特定于 AWS 云的 Web 应用程序安全缺陷,由 terraform 自托管。
Pentesting.Cloud:17个免费实验室。需要网站注册。
AWS CIRT 研讨会:在您自己的 AWS 账户中构建并探索 AWS CIRT 团队所见的 5 种常见事件响应场景。
CloudGoat:设计上易受攻击的 AWS 安全实验室,提供指导演练。
攻击和防御无服务器应用程序:攻击和防御您使用作者提供的 terraform 和脚本在自己的 AWS 账户中构建的 Lambda。非常具有教育意义,具有研讨会风格的感觉。
IAM 漏洞:使用 Terraform 通过设计具有 31 种权限升级攻击路径的 AWS IAM 权限升级游乐场来创建您自己的漏洞。非常可靠的文档。
缺陷.云:用关卡和线索挑战风格。
缺陷2.cloud:具有攻击者和防御者路径的挑战风格。
CI/CDon’t:使用 terraform 在您的 aws 账户中托管的易受攻击的 CI/CD CTF 挑战。包括演练。
AWSGoat:一个非常脆弱的AWS基础设施,有两本攻击和防御手册。
Sadcloud:在没有显示漏洞的指南的情况下创建易受攻击的 AWS 服务。
DVCA:在您自己的 AWS 帐户中部署一个该死的易受攻击的云应用程序来练习权限升级。
lamhack:在您的 AWS 账户中部署一个非常容易受到攻击的 AWS lambda 无服务器应用程序。
天蓝色
[损坏的 Azure](https://www.brokenazure.cloud/):Azure 基础设施在设计上存在漏洞,您可以对其进行攻击。PurpleCloud Azure AD 研讨会:模拟企业 Azure 客户的引导漏洞研讨会。它需要 PurpleCloud 和 terraform;用户名和密码是sec588
Mandiant Azure Workshop:设计上存在漏洞的 Azure 实验室,包含您在自己的 Azure 租户中构建的两个场景。
AzureGoat:使用 terraform 构建一个模块并浏览所提供的攻击和防御手册。
XMGoat:在 Azure 租户中构建 5 个场景并浏览提供的解决方案文档。
CONVEX:使用 powershell 在 Azure 租户中启动三个 Capture the Flag 环境。
GCP
[GCP Goat (Josh Jebaraj)](https://gcpgoat.joshuajebaraj.com/index.html):托管在您自己的 GCP 帐户中并使用提供的脚本进行构建。它有一本很好的指导实验室工作簿。GCPGoat (ine-labs):带上您自己的 GCP 帐户并使用 terraform 构建一个模块。提供攻击和防御手册。
迅雷CTF:自带GCP账号,6级,练习攻击GCP上的易受攻击的云项目。
库伯内斯
[Bustakube](https://www.bustakube.com/):将易受攻击的 K8S 集群下载为 VM,您可以在 VMWare 中导入并本地运行。Kubernetes Goat:在您自己的云帐户(GKE、EKS、AKS)或 K3S 中创建并托管并进行攻击。包括指导工作簿。
Kubecon NA 2019 CTF:您在 GCP 帐户中创建的很棒的 CTF。有一本指导工作簿,其中包含两种攻击和防御场景以及奖励挑战。
容器
[Container Security 101](https://jonzeolla.com/labs/container-security-101.html):在您的 AWS 账户中托管的指导性漏洞研讨会。作者在网页上提供了一个很好的实验,您可以使用 CloudFormation 构建一个虚拟机,然后创建一个容器。Contained.af:容器逃逸挑战,突破它并向作者发送电子邮件。
地形
[TerraGoat](https://github.com/bridgecrewio/terragoat):Terraform 存储库设计上存在漏洞。研究实验室
[PurpleCloud](https://www.purplecloud.network/):使用 python 和 terraform,构建您自己的 Azure 安全实验室。SimuLand:使用 Azure RM 模板,创建您自己的 Azure 安全实验室。